SVN exploit

[kika]

По-моему в этой истории самое интересное - не сам эксплойт (он-то как раз довольно скучен, в смысле hack value) а тот факт, что в такой массе (крупных!) компаний совершенно отсутствует понятие релиз-менеджмента. Делают просто svn co в корень сайта и понеслось.
Фактическая statelessность HTTP протокола сыграла с индустрией злую шутку in da long run.

Comments

[xfyre.livejournal.com]

я тебе по большому секрету скажу, что даже там, где понятие релиз-менеджмента присутствует, процедура выкатывания релиза как раз таки и заключается в svn co в корень сайта. там где работать умеют чуть лучше - умеют вместо co делать export.

меня намного больше удивило, что такому количеству админов неочевидно обязательное наличие в конфигурации Deny from all на все что матчится с CVS|\.svn

[rblaze.livejournal.com]

Это совершенно необязательно. Ничего матчащегося с CVS/svn и вообще не предназначеного для выдачи клиенту/интерпретации в дереве просто не должно быть. На всякие deny рано или поздно обязательно найдется эксплойт с достаточно мощной резьбой.

[kika.livejournal.com]

Илья, ты чего? checkout - это операция создания РАБОЧЕЙ КОПИИ! Какая в жопу рабочая копия в корне сервера?
Даже в нашей микрокомпании выкатывание чего-либо на боевые машины делается RPMом. Хотя конечно я понимаю, что такие релиз-менеджеры в spec добавят не список файлов для релиза, а корневую директорию проекта, их наверное и RPM не спасет.

[xfyre.livejournal.com]

да меня-то зачем агитировать, мне это как раз очевидно. freebsd package manager можно так же использовать.

мне интересно - более человеческого для юниксов ничего не придумали? помимо rpm и pkg_add? и так чтоб везде работало?

[anatolix.livejournal.com]

Не вижу трагедии особой в co. В Яндексе например верстка именно так и выкладывается. Из отдельного репозитария специально для верстки. Ничего секретного там нет. Если у тебя развесистая верстка, то co лучше т.к. выкладывает 2 изменившихся файла, а не все дерево. Опять же в случае если какой-нибудь #удак с рутом файлик поправит прямо на сервере это будет видно при следующей выкатке. Ну подумаешь хакеры утащат makefile который 10 css-ов в один склеивает.

Все программы у нас естественно выкладываются тоже собранные - в *.deb или бинарник хотя бы.

[kika.livejournal.com]

Ничего секретного там нет.

Пока нет.

Если у тебя развесистая верстка, то co лучше т.к. выкладывает 2 изменившихся файла, а не все дерево.

rsync *.rpm делает тоже самое и даже лучше. Он может выложить 2 изменившихся байта :-) И я в этом месте не понял - Яндекс экономит на трафике?

Опять же в случае если какой-нибудь #удак с рутом файлик поправит прямо на сервере это будет видно при следующей выкатке.

rpm -V

И вообще. Ничто не мешает автомеханику откручивать гайки пассатижами, а не гаечным ключом, а электрику использовать изоленту вместо клемм. Это считается непрофессиональным не потому что клеммы и ключи очень понтово выглядят, а потому что повышает шанс остаться с руками, пальцами и живым. Разница между профессионалом и любителем фактически в матожидании.

[anatolix.livejournal.com]

(не в ту ветку в первый раз написал)

Почему пока - что секретного может быть в коде который пользователю весь отдается?

rsync rpm тебе только rpm скачает - его же еще ставить надо, что все файлы перепишет. Плюс rpm гзипованный - там нифига не 2 байта меняются при смене одного файла.

Яндекс экономит на времени раскладки релиза. Если тебе нужно выкатить верстку на 300 морд, чтобы чтобы они все не были одновременно в ауте это может занять некоторое время.

[itman.livejournal.com]

Да-да-да... какой красивый метод инсталляции. Я писаю кипятком.

[anatolix.livejournal.com]

Да ладно... если бы ты знал или умел что-то лучше...

[itman.livejournal.com]

Чем инсталляция SVNом? Ну куда уж нам глупым до самых передовых технологий.

[anatolix.livejournal.com]

... или хотя бы знал как у нас сейчас, и какую роль в цепочке релиза занимает svn.

Ну покажи всем какой ты умный, скажи как у больших мальчиков это должно быть сделано.

[itman.livejournal.com]

Кстати, по теме. Еще бы, это ведь так дорого и муторно. Нужно фиксировать релиз, нужно делать бинарники и прогнять их через QA. А так вжик и готово! Сколько времени экономится, блин!

[itman.livejournal.com]

Прочитай сначала внимательно, что автор журнала написал. Может ты даже увидишь там ключевое слово.

[anatolix.livejournal.com]

Леня, ты ты и правда считаешь, что релиз менеджмент как-то связан с методом доставки файлов на сервера? Может ты еще о бранчах/тегах не слышал? bucket тестах на части аудитории? Что качается deb пакетов они были еще при тебе - если ты что-то внедрял ты наверное должен был ими пользоваться.

[lionet.livejournal.com]

Если я посоветую курить про разные бранчи, в том числе бранч для оттестированного, прогнанного через QA кода, меня пошлют ведь, да?

[itman.livejournal.com]

Ты скажи, неужели ты все, что лежит в репозитории вываливаешь на сервер? И бинарники ты тоже кладешь в репозиторий?

[dmzlj.livejournal.com]

если это пэхэпэ сайт, то там уже лежат исходники.

[lionet.livejournal.com]

1. Нет, не всё, что в репозитории. Только то, что в релиз-бранче.
2. Нет, бинарники не кладу.

[itman.livejournal.com]

То есть ты хочешь сказать, что сначала делаешь специальный бранч, куда копируешь только то, что нужно?

[mikedin.livejournal.com]

а вот тут уже я не очень понял :)

если с вываливанием мне еще понятно, то не объясните что плохого в выкладывании бинарников в репозиторий?
у нас в свое время было именно так. да, репозитории были большие, но собрать второй раз давний спец-релиз так, чтобы подхватились отладочные символы при отладке, как показала практика, не получалось.

если что - это был msvc, но что-то мне подсказывает, что дело не в нем...

[itman.livejournal.com]

В аду за это жарить точно не будут. Репозиторий просто для этого не предназначен. Репозиторий он для ведения системы версий, сравнения исходников разных версий, итд... А если чекаут нужно по сети делать, а там гиги этих бинарников?
Релиз один раз сложили и до свидания. Это можно и без репозитория сделать. Сложить в любой каталог, который бэкапится. Разделив по версиям предварительно.

[mikedin.livejournal.com]

то, что не предназначен - согласен
проблемы сети как-то не вставали (софт прикладной, да и процессы в компании позволяли обойтись без "вдруг"), каталоги делали в самом начале, но в результате пришли к выводу, что по ряду причин менее надежно, поэтому релиз при сборке клался-таки в репозиторий. промежуточные конечно тоже не клали.

это хорошо, что не жарят :)

[dmzlj.livejournal.com]

А если нет бинарников? Поломали то апачистов-пхп-шников в первую очередь. Потому как такой там подход и настройки сервера по-умолчанию.

[itman.livejournal.com]

Совсем-совсем нет бинарников?

[dmzlj.livejournal.com]

А чего бы картинки не положить в SVN? Их, поди, компилировать не надо.