Дима Пономарёв (https://fobos-nt.ru/, @ispras) в свежем выпуске BIS Journal (https://ib-bank.ru/bisjournal/) навалил базы про разработку безопасного ПО в статье "Архитектурный анализ"

Статья у упором на ГОСТ и прочую регуляторику, поэтому кому эта тематика интересна и/или нужно работать с этим, то можете смело ознакомиться

Но пост не по этому поводу, а про то какая мысль у Димы в конце идёт

> Ещё один пример — возможность применения инструментов, подобных Luntry, для комплексного исследования защищённости контейнерных решений, предназначенных для выполнения под управлением оркестратора k8s. Несмотря на то что основным предназначением инструмента является обеспечение безопасности функционирующих в проде кластеров, он вполне и с успехом может применяться и для выявления различных «избыточностей» в соответствии с информационным письмом.

Ссылка на полистать статью (страница 43)
https://ib-bank.ru/rpbo_pdf/7

Это ровно то что я хотел донести в своём мастер-классе на ТБ-Форуме в начале этого года
https://xn--r1a.website/tech_b0lt_Genona/5033

Сейчас будет блок очевидного обо очевидном, мало связанный с предыдущей частью поста, но который я давно хотел написать, а слова Димы стриггерили меня 🌝

Если инструмент позиционирует себя каким-то образом под какие-то задачи, то это никак не мешает вам применять его для решения ваших задач для которых инструмент не позиционируется (ну или явно не агитирует таковым быть).

Конечно "дружелюбное камунити" вам расскажет, что так нельзя и не надо, начнёт учить жизни, но я никогда на это не вёлся и вам не советую. Я такое множество раз наблюдал на форумах и в чатах.

У меня много раз было так по работе (особенно в части R&D), что нужно было быстро что-то попробовать или какую-то проблему команды решить и я никогда не стеснялся взять то что мне подходит прямо сейчас, а со всякими "производительностями", удобством и т.д. я разбирался потом (если вообще потом это надо было).

Можно ли найти "более лучшее" решение для своих задач? Иногда оно есть, но когда вы что-то уже прикрутили и начали использовать, то начинаете получать обратную связь и, возможно, оно окажется с вами "навсегда", потому что будет удовлетворять потребностям вашим и команды.

Не надо заниматься преждевременной оптимизацией, так вижу.

Лет 8-9 назад мне нужно было помочь коллеге парсить, выдёргивать нужное и складировать всякое из документов EDGAR (https://www.sec.gov/submit-filings/about-edgar) и вот такого замечательного раздела не существовало https://www.sec.gov/submit-filings/filer-support-resources/how-do-i-guides

Зато был очень дорогой инструмент, который позволял нормально с такими файлами работать (название за давностью лет я не помню), и пара проектов на GitHub. Первый проект был на R, а второй на Haskell (у него была больше функциональность). Тот что на Haskell ломался на выборке, которая у меня была, а вот на R работал. И правильным путём было бы фиксануть инструмент на Haskell, он реально был лучше, но я пошёл другим путём.

Я на Tcl/Tk наваял обвязку вокруг проекта на R, так как в самом R я был не силён, и в таком виде он и существовал в работе.

Сейчас, конечно, уже появилось больше утилит и описаний, которые бы облегчили жизнь, но тогда было не так.

В этом смысле я всячески одобряю подход @anton_samokhvalov, который пилит свой дистрибутив Linux
https://xn--r1a.website/tech_b0lt_Genona/5003

Не собирается библиотека libgpg-error? Делаем sed

{% if freebsd %}
sed -e 's|linux-musl|freebsd|' -i configure
{% endif %}

https://xn--r1a.website/itpgchannel/3158

Проблемы с JIT при сборке? "Обманываем" сборку выставляя нужную версию Clang.
https://xn--r1a.website/itpgchannel/3489

Я не пропагандирую "говно и палки", но и ковыряться бесконечно в каком-то "ресёрче" в поиске лучшего/идеального решения тоже считаю плохим подходом.

#кейсы

Про instant карму

На днях надо было сравнить API разных LLM

ChatGPT — включил vpn, залогинился через гугл, закинул денег, получил токен, работает
DeepSeek — залогинился через гугл, закинул денег, получил токен, работает
Grok — включил vpn, залогинился через гугл, закинул денег, получил токен, работает
Groq (инференс провайдер, разные модели) — получил пробный токен, работает
GigaChat — 2 минуты бродил по документации, залогинился через sms, получил пробный токен (и еще 2 каких-то), работает (но не без приколов -- с переполучением токена каждые полчаса)
Qwen — залогинился через гугл, подтвердил телефон, ввел карту, бродил минут 15 — получил бесплатный млн токенов и api-ключ

YandexGPT — 2 часа читал документацию пытаясь понять как просто получить токен не заводя себе клауд. Оставил заявку.
На сл день (вчера) мне выслали ту же ссылку на документацию на почту и позвонили — попросил перезвонить через полчаса.
Через 2 часа звоню сам тому корп продажнику (КП) кто мне писал, происходит примерно такой диалог:

— Добрый день, Максим, подскажите пожалуйста как купить у вас API не покупая клауд?
— КП: читайте документацию, там все написано (без привета без ответа)
— Я бы хотел избежать покупки клауда, мне только токен от API и все
— КП: Вы не понимаете что Яндекс Cloud это платформа?
— А что такое платформа?
— КП: вы что не знаете? Платформа это клауд
— А клауд что такое? Я думал это облако — когда есть железо, которое можно арендовать и накатывать разные конфигурации и платить за использование
— КП: нет, клауд это сервис. Вам надо купить клауд, потом купить AI студию, потом API — читайте документацию, там все написано
— Мы всей командой читали весь вечер — там в контракте требуется Cloud_ID и много всяких штук, плюс не ясно как у вас устроен function calling — например, как вызвать search или web_search?
— КП: в документации все есть, я не буду вам разжевывать — дайте ее почитать тому кто у вас поумнее, разработчику например. Вам не API нужно, это для приложений, вам Алиса нужна.

Алиса:

В прошлом посте про голубей дронов я искал запись с конфы, ну или вообще хоть что-то
https://xn--r1a.website/tech_b0lt_Genona/5902

И вот подписчик, за что ему большое спасибо, принёс в комменты, что сегодня запись выложили

00:00 - Саша Панов, CEO & Founder Neiry: приветственное слово, общие результаты группы компаний;
07:08 - Никита Подлипский, CCO Neiry: новости кластера Mental;
26:21 - Вадим Сахаров, CEO Нейротех, CTO Neiry: новости кластера Medical Devices;
40:34 - Валерия Раевская, CEO Neiry Research: новости кластера Neuromarketing;
54:39 - Александр Бубенок, CPO Neiry (инвазивное направление), НейроРога: новости кластера Animal Farming;
1:02:46 - Анастасия Лисовцева, COO Neiry: новости кластера Neuro Clinic;
1:13:20 - Саша Панов, CEO & Founder Neiry: новости кластера Smart Animals (Biodrones) + демонстрация биодронов;
1:21:11 - Дмитрий Алексеев, CTO Нейротех, руководитель проекта ПУСИН Neiry: R&D, Engineering, Production;
1:34:16 - Василий Попков, к.б.н., руководитель лаборатории разработки инвазивных нейроинтерфейсов ИИИ МГУ: Neuroscience, R&D;
1:45:33 - Саша Панов, CEO & Founder Neiry: заключительное слово.

Neiry.Conf 2025: Биороботы и другие новинки нейротеха
https://www.youtube.com/watch?v=O0I6xhK2AFk

Макс Горшенин выдал отличную от массовой теорию

Я тож поверил в сказку про ИИ, но пообщавшись с российскими производителями они приоткрыли мне глаза: Китай - центр корпусирования микросхем в мире

И торговая война с США привела к сбою цепочек корпусирования + Китай таким способом (запретом на корпусирование памяти зарубежной, не китайской) тож умеет баловаться

Так что, либо Трамп вернёт всё взад-назад, либо Си включит заднюю

Но а пока этого не произошло - с памятью реально плохо

Единственный островок стабильности - Apple и их айфончики: компания заключает и выкупает ЭКБ на ДВА года вперед

Это сознательная политика Тима Кука, так что скриньте: айфончики купить сможем, а со всем остальным будет плохо

https://xn--r1a.website/imaxairu/18963

#prog #article #amazingopensource

zizmor — статический анализатор для Github Actions, рождённый из-за фрустрации автора, вызванной тем, насколько легко использовать Github Actions небезопасно. Инструмент намеренно нацелен на то, чтобы иметь высокий signal to noise ratio по умолчанию.

В статье Introducing zizmor: now you can have beautiful clean workflows автор рассказывает о том, что это за инструмент и мотивации для его создания, а также некоторые детали реализации (написан на Rust, BTW).

В более технической статье Fun with finite state transducers автор рассказывает о том, как снизил на порядок количество данных, включаемых в инструмент. Эти данные используются для идентификации того, в каких контекстах YAML-файлов, настраивающих Github Actions, включение внешних данных небезопасно.

Если вы сомневаетесь, насколько этот инструмент нужен, то в статье zizmor would have caught the Ultralytics workflow vulnerability автор рассказывает, как zizmor мог бы предотвратить инцидент, который привёл к публикации как минимум двух вредоносных версий Python-библиотеки для машинного обучения и, предположительно, к компроментации репозитория целиком.

Считаю эту новость абсолютно прекрасной. Есть шанс, что при таких раскладах Bun сможет составить конкуренцию NodeJS, да и глядишь Zig бустанётся.

JavaScript-платформа Bun перешла в руки компании Anthropic
https://www.opennet.ru/opennews/art.shtml?num=64366

Компания Anthropic, продвигающая семейство больших языковых моделей Claude, поглотила стартап, разрабатывающий открытую JavaScript-платформу Bun, преподносимую как высокопроизводитльный аналог платформ Node.js и Deno. Основной причиной поглощения упоминается желание обеспечить стабильное развитие платформы Bun, которая задействована в продуктах Claude Code и Claude Agent SDK. После завершения сделки проект останется открытым и публично развиваемым на GitHub, продолжит поставляться под лицензий MIT, будет сопровождаться и разрабатываться той же командой и сохранит свои приоритеты (ориентация на высокую производительность и совместимость с Node.js).

Проект Bun написан на языках Zig и С++, и развивается с оглядкой на обеспечение совместимости с серверными приложениями для Node.js и поддерживает большую часть API Node.js. В состав платформы входит набор инструментов для создания и выполнения приложений на языках JavaScript и TypeScript, а также runtime для выполнения JavaScript-приложений без браузера, пакетный менеджер (совместимый с NPM), инструментарий для выполнения тестов, система сборки самодостаточных пакетов и прослойка для встраивания обработчиков, написанных на языке Си. По производительности Bun заметно обгоняет Deno и Node.js (в тестах на базе фреймворка React платформа Bun в 2 раза опережает Deno и почти в 5 раз Node.js). Для выполнения JavaScript задействован JavaScript-движок JavaScriptCore и компоненты проекта WebKit с дополнительными патчами.

Оригинальные посты от самих компаний

Bun is joining Anthropic
https://bun.com/blog/bun-joins-anthropic

Anthropic acquires Bun as Claude Code reaches $1B milestone
https://www.anthropic.com/news/anthropic-acquires-bun-as-claude-code-reaches-usd1b-milestone

Помните в мае и октябре я писал, что MinIO конец (по крайней мере таким, каким мы его знали)?
https://xn--r1a.website/tech_b0lt_Genona/5342
https://xn--r1a.website/tech_b0lt_Genona/5806

Ну в общем так и получилось

https://github.com/minio/minio/commit/27742d469462e1561c776f88ca7a1f26816d69e2

via @itpgchannel

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
React UNAUTH RCE
CVSS 10
По патчу успел понять в чем проблема (PoC пока пишу)
Уже сейчас могу сказать что похоже действительно уязвимы прям стандартные версии
То есть разработчику не нужно даже написать стремный код / использовать конкретный модуль
Достаточно написать:

npx create-next-app

То есть имеем очень страшное RCE by default на миллионах сайтов
Реверсим патч и лутаем миллионы на багбаунти...

Пишут, что и PoC подъехал уже

Exploit Chain
- $ACTION_REF_0 triggers bound action metadata parsing
- id: 'vm#runInThisContext' loads vm module, accesses runInThisContext export
- bound array becomes arguments to runInThisContext.bind(null, CODE)
- When action is called: runInThisContext(CODE) executes the code
- RCE achieved!

CVE-2025-55182 - Real React Server Components RCE POC
https://github.com/ejpir/CVE-2025-55182-poc

CVE-2025-55182 - Technical Deep Dive
https://github.com/ejpir/CVE-2025-55182-poc/blob/main/TECHNICAL-ANALYSIS.md

Надо было в пятницу публиковать пост React'у 🌝

Так как больше трёх человек написали в личку, то традиционно отвечаю публично 🌝

Главный посыл был что это всё (ну или почти всё) нейронкой нагенерено

Да, это полностью навайбкоженая репа. Человеческого в ней мало.

И конкретно в этом случае я не вижу проблемы, так как это не продовый код.

"Сварщик" я не настоящий, но запускал и смотрел код на сколько умею.

Набрасывайте в комменты если есть ещё чего по теме.

Из публичной критики могу дать ссылку на чат "Кавычки", пока лучше ничего не видел
https://xn--r1a.website/WebPwnChat/231827

UPD

Ещё одно описание PoC'а

> итог простой:
react rsc rce — это не теоретическая страшилка, а реальный шелл на хосте из POST запроса.

https://xn--r1a.website/ad_poheque/119

ИИ (https://xn--r1a.website/tech_b0lt_Genona/5919) не справился, поэтому подключились кожаные мешки и у них получилось лучше 🌝

CVE-2025-55182

Первый
https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3

Второй
Explanation and full RCE PoC for CVE-2025-55182
https://github.com/msanft/CVE-2025-55182

Беда

We are aware of the issue impacting the availability of Cloudflare’s network. It was not an attack; root cause was disabling some logging to help mitigate this week’s React CVE.

Will share full details in a blog post today. Sites should be back online now, but I understand the frustration this causes and the work being

Dane Knecht, CTO Cloudflare
https://x.com/dok2001/status/1996872325678223609

Прошлое заявление по прошлому падению CF
https://xn--r1a.website/tech_b0lt_Genona/5882

гномпоражение.рф

Subject: CVS: cvs.openbsd.org: ports
From: Antoine Jacoutot <ajacoutot () cvs ! openbsd ! org>
Date: 2025-11-13 8:19:16

Log message:
Bump GNOME to version 49.
Not everything is in yet.

Note that this will probably be the last GNOME version that will be able to run on OpenBSD; it's already heavily patched. GNOME 50 is dropping support for X11 and systemd dependency is becoming a hard one (along with GUdev and other functions we don't support).
See:
https://blogs.gnome.org/adrianvovk/2025/06/10/gnome-systemd-dependencies/

https://marc.info/?l=openbsd-ports-cvs&m=176302122719362

Пользуясь случаем - @whygnomesucks

У некоторых пользователей «Госуслуг» при авторизации пропала возможность пропустить скачивание мессенджера MAX. При входе в аккаунт через мобильную версию браузера сервис требует установить приложение, и избежать этого больше нельзя. На это жалуются интернет-пользователи из разных городов России в соцсетях.

https://www.e1.ru/text/world/2025/12/05/76158102/

Из-за растущего числа случаев мошенничества, когда пользователи Госуслуг непреднамеренно передают СМС-коды для входа на портал, было принято решение постепенно отказаться от подтверждения входа на портал через СМС — пока это решение касается только входа на «Госуслуги» через мобильные устройства.

Варианты второго фактора защиты

- с помощью одноразового кода в мессенджере МАХ
- с помощью одноразового кода из специального приложения
- по биометрии
- СМС — только для пользователей десктопной версии Госуслуг

https://digital.gov.ru/official-position/vhod-v-prilozhenie-gosuslugi-mozhno-podtverdit-raznymi-sposobami

Спасибо