Názory k článku binenv: poslední binárka, kterou si do systému nainstalujete

Ehm, to vypadá skoro tak bezpečně, jako curl | bash. Samozřejmě pokud věřím, že se nemůže stát, že by uploadovat mohla osoba které nedůvěřuji, tak to může byt ok. Narážím tu například na "koupi" starých addons do prohlížeče osobami, jejichž zájmem bylo pouze šíření malware, který do pluginy prostě přibalili a následně počkali až uživatel, nebo prohlížeč spustí aktualizaci.

Takže composer pro binarky.

Spíš je to kopie Homebrew z jablečnýho světa.

Homebrew je skor domestikovany portage. Toto so stahovanim a kompilovanim zdrojakov nema nic spolocne.

To len ja mam pocit, ze to v poslednej dobe ide proti filozofii linuxu? Ked kazda kravina sa bali ako staticky zlinkovana binarka a na overene balicky a bezpecnost sa uplne kasle?

Co jsou podle Tebe ověřené balíčky? Prošly nějakým auditem?

Ja celkom rozumiem tomu, preco to tak "musi" byt. Na jednej strane stoji "kazdy spravny admin", ktory pouziva RHEL, alebo CentOS. Na druhej strane kontajnerovy priemysel, ktory sa dost zivelne vyvija. To nejde dohromady.

RHEL bude zamrazeny na tragicky zastaralych verziach balikov, oproti ktorym je Debian stable vykrikom modernej techniky. Specialne s RHEL7 bol kopec srandy ked clovek narazil na nieco, co potrebovalo napriklad tak beznu vec, ako fungujuce C++11.

Kontajnerovy priemysel vytvara a zahadzuje buzzwordy rychlostou len o malo mensou, nez ktorou vznikaju a zanikaju javascriptove frameworky. Kontajnerizacia, ktora sa dnes pozaduje v kazdom druhom inzerate bude o rok davno zabudnuta technologia a tie tooly? O pol roka budu uplne ine...

Na jednej strane korporat pozaduje stabilny OS ako RHEL, ale na druhej strane ide po krku "najnovsim" kontajnerovym technologiam (vacsinou si vybere buzzword, ktory fici prave v dobe, ked sa pre kontajnery rozhodne a s tym, co si vybral pojde do hrobu).

Vsetko staticky zlinkovat voci nejakemu jakz takz stabilnemu runtimu je jedina moznost, ako v takej situacii prezit.

O co, že zrovna kontejnerizace zapomenutá opravdu nebude... naopak. Škoda, že se nevsázím. Naopak si myslím, že je klidně možné, že se podloudně rozšíří pro některé účely i na desktopy. Já třeba Docker využívám na VPS v podstatě místo balíčkovacího a init systému zároveň.

To sme sa nepochopili. Kontajnerizacia ako taka nevymizne. Len je to stale este "relativne" nova zalezitost a tak sa utriasaju skatule. Frontendy, frameworky a koncepty prichadzaju a odchadzaju. Chvilu je jednotkou jedna technologia, len aby bola o rok zabudnuta. A tie frontendy? Ved len clanok vymenuvava zo 4 rozne.

No to je otázka, co považuješ za staré. RHEL/CentOS 8 má Python 3.6 a nejlepší, co se dá "pokoutně" sehnat, je 3.8. Zato je net plný návodů, jak spustit configure a make a na ten enterprise systém 3.9 zkompilovat. To je dost zoufalé.

Nejlepší je použít Ubuntu a deadsnakes, pokud to ve firmě projde.

Souhlasim. Jeste bych dodal, ze role toho "spravneho admina" dava cim dal mensi smysl. V dobe kdy se na jeden Unix server hlasili desitky uzivatelu aby si precetli postu, a na tom samem serveru bezel FTP/HTTP/SMTP server, .., tak ty doby jsou davno pryc.

Dneska ma kazdy server prave jeden ucel (vetsinou na tom bezi DB anebo app), a o tom jake binarky tam budou slouzit o rozhoduje ten kdo ma nastarosti aplikaci.

Ukolem toho spravneho admina je poskytnout nejaky stabilni zaklad pro neco co doinstaluje nekdo jiny.

Ne nemas, je nas vic.

Tak to vypadá, že už to programovat nemusím. Jenom to bude potřeba doplnit, aby to umělo nastavit i proměnné prostředí (třeba JAVA_HOME), případně přesměrovat celý adresář binárek.

Na toto už existuje direnv (https://direnv.net/)

Na jvm binarky je super sdkman. Vyhoda, ze sa da jednoducho switchovat medzi x java verzemi.

Tak az binenv dokaze nejak ovalidovat zdroj, tj ze binarku zkompiloval nekdo duveryhodny a z duveryhodneho src, ma asi smysl si podobnou pitomost porizovat.

Zda se, ze kontejnerizace vubec neresi bezpecnost. Tyhle zkratky v IT (odsouvani fundamentalnich veci do jine "vrstvy") jsou pritom extremne nebezpecne, kdyz zacinala klasicka virtualizace, take kazdy radeji prohlasil hypervizor za "bezpecny" by-definition (a kolik zranitelnosti se severitou vynasobenou tim, ze na jednom zranitelnem systemu jich bezi "x" se "dodatecne" objevilo, a to dokonce az na uroven hardware)

Obdobne cloudove sluzby jsou bezpecne "by-definition". Prece za to platim, tak je to jejich vec, ne ? A auditora pripadne poslu "do cloudu".

Kde ten paradox asi nejvic krici, je nesmyslne pouziti certifikatu za kazdou cenu (k vystaveni verejnych dat), klidne garantujicich jen to, ze nekdo mel chvilku pristup k Vasemu serveru, a to cele automatizovane scriptem (certbot) stahovanym "tak nejak bezpecne" z ciziho webu. No jupiii, jak je to snadne, tak proc ne.

Zkratka generace hipsteru odkojena socialnimi sitemi nepotrebuje ani soukromi, ani iluzi bezpecnosti. To vse se prece "pak" a "nejak" vyresi ... teda pokud nekdo bude (mit) moc chtit.

Presne tak, docker pull a dalej sa nestaram.... Kde jme to jenom dospeli velebnosti...

vlastně tohle je jen špička ledovce, ani repositáře pro běžné jazyky (python, java, node.js, php, perl atd.) nejsou bezpečné, dostat tam zákeřný kód, který si pak každý nainstaluje je strašně snadné. U většiny z nich dokonce ani nemám jistotu, že nedošlo při stažení k modifikaci.

Vlastně snad jediné místo, kde se provádí určitá kontrola jsou repositáře jednotlivých distribucí, ale tam se to zase nikomu právě nelíbí, protože to je pomalé, kontrola trvá nějaký čas.

K tomu jazyku go a distribuci pouze binárních artefaktů místo balíčků. Mně to nevadí, dává mi to volbu si ten balíček udělat sám, klidně si to sám zkompilovat, naopak to považuji za poměrně lepší než kdyby mi cpali svoje konvence do balíčků (stačí to vidět u ppa/deb, kdy každý balíček se chová jinak, některé ani neumí řádně službu spustit a zastavit).

Uplne suhlasim, v kontainerizacii sa na bezpecnost kasle, pricom si kazdy mysli, ze docker oddeluje system (co nie je pravda). Docker Hub kasle na bezpecnost a jej obchodny model je taky, ze ak chces tu najprimitivnejsiu tak si zaplat.

Podobne je to aj s NPM kniznicami.

A s tymi certifikatami suhlasim, Google v mene zvysnia bezpecnosti (spolu s LE) poslali bezpesnost do haja.

To je daň za to, že dnes musí bezpečnost řešit spousta lidí, kteří o ní nic netuší. Třeba lidé, kteří si myslí, že ostatní certifikační autority validovaly a validují DV certifikáty nějak víc, než jak to dělá LE.

V tom pripade sa malo klepnut po prstoch danym CA-ckam, a nie odstavit vsetky a vykaslat sa na bezpecnost.

Ty CA to dělaly podle pravidel, která jednotlivé prohlížeče/OS vyžadují pro zařazení na seznam důvěryhodných certifikačních autorit. Netuším, co myslíte tím „odstavit všetky a vykašlat se na bezpečnost“. Nevím o tom, že by někdo někoho odstavil. A bezpečnost je co se týče ověřování domén stále stejná.

Nějak mi uniká, kde to bere zdroj těch instalaček. Je to nějaký repozitář/databáze zdrojů? A zrovna u toho prezentovaného případu, když zapátrám v balíčcích openSUSE, tak Tumbleweed má 1.20.2 a pro Leap jsou různé verze k dispozici v OBS devel:kubic. Akorát nevím zdali to umí víc verzí paralelně. Já ale myslel, že kontejnery musí být vždycky na těch nejnovějších verzích. ;-)

Ten výše zmíněný případ s Pythonem 3 je v openSUSE řešen tak, že minimálně TW umožňuje mít víc verzí paralelně. Ale blíže nevím, nepotřeboval jsem to.

Jinak OBS vynucuje minimálně dost technických kontrol, takže balíčky jsou konzistentní a málokdy narazím na něco, co by bylo vyloženě zprasené.

Github releases, teoreticky tam ale moze byt cokolvek.

2. 2. 2021, 14:35 editováno autorem komentáře

Díky za super článek, Věroši!