Внимание! Модули с бэкдюрами!

11 февраля 2023 в 15:18
Аватар пользователя Abdula Abdula 0 9

Нашел в статье Обзор CMS Drupal 9.4.8 такое стремное предупреждение:

В некоторые модули сторонних разработчиков, размещённые в том числе в официальном каталоге движка (около 4 сотен), могут быть внедрены бэкдоры, рассчитанные исключительно на российских пользователей.

Похоже, что это один из элементов информационной войны с Россией.
Настолько это актуально, и что предпринимается разработчиками и администраторами, чтобы не допустить такие модули в общий репозиторий Друпала?

Комментарии

Разработчиками может предприниматься все чтобы включить свои модули пусть не в ядро Друпала, но в виде контриба.

Нашли модули с бекдорами - пишите на орг. Администраторы там уже примут решение.

И да это настолько реально для Друпала насколько же для любой другой системы. Не обязательно опен сорс. Даже более того - в опен сорс системе - на ваши гипотетические замечания с большой вероятностью внимание обратят.

11 февраля 2023 в 15:40

Модули, публикуемые на drupal.org проверяются на бэкдоры и прочий вредоносный код, тем не менее, исторически так сложилось, что в сообществе drupal немало граждан Украины, и, например, в прошлом марте некоторые компании из этой страны, занимавшиеся разработкой и поддержкой сайтов были уличены во встраивании бэкдоров и несанкционированных публикациях на подконтрольных им сайтах.

В целом риски невелики, сообщество крайне негативно относится к подобным закидонам, но если используете сторонние модули, то перед обновлением основного сайта, крайне желательно все-таки тестировать обновления, особенно если среди разработчиков модуля есть граждане Украины.

11 февраля 2023 в 15:45

Узнать есть ли в составе разработчиков граждане какой угодно страны, вы сможете только если они вам об этом сообщат. При большом желании вычислить можно.

Информация о том что случилось в прошлом марте, получена из украинского ТГ канала.

Тестирование обновлений на вероятность гипотетического бекдора - так же как и в любой другой системе.

11 февраля 2023 в 15:58

Нашли модули с бекдорами - пишите на орг.

Ну если нашел, то понятно, что делать. А если не нашел?
В том смысле, что если я начал использовать какой-то модуль, работает вроде нормально, но поди знай, есть в нем бэкдюр или нет, ведь мои возможности по их поиску весьма ограничены.
Я веду к тому, что профессионалы, которые поддерживают репозитарий, в поиске бэкдюров имеют гораздо больше способностей, и хорошо бы им устроить тотальную ревизию модулей.

По поводу .org.
Не кажется ли, что владельцы этого иноземного ресурса (он же не российский) заодно с бэкдюровцами и будут только поощрять их деструктивные действия?

11 февраля 2023 в 15:49

>Я веду к тому, что профессионалы, которые поддерживают репозитарий, в поиске бэкдюров имеют гораздо больше способностей, и хорошо бы им устроить тотальную ревизию модулей.

Такая ревизия проводится, есть специальная команда, которая проверяет как ядро друпала, так и сторонние модули на уязвимости и прочий вредоносный код. Но ничто в мире не идеально, так что нужно понимать, что риск, пусть и небольшой, есть всегда. В целом, если вы пользуетесь крупным и популярным модулем, риски очень малы, основные риски в очень нишевых и малопопулярных модулях, где разработчик действительно может что-то встроить, так что по возможности не пользуйтесь такими, либо активно тестируйте, смотрите код каждого обновления такого модуля.

> Не кажется ли, что владельцы этого иноземного ресурса (он же не российский) заодно с бэкдюровцами и будут только поощрять их деструктивные действия?

Нет, не кажется. Несмотря на то, что владельцы drupal.org публично осудили войну на Украине, их политика осталась неизменной- сообщество остается открыто и безопасно для всех участников, независимо от страны их проживания. Никакое встраивание вредоносного кода ни в ядро ни в сторонние модули недопустимо и карается.

11 февраля 2023 в 15:54

Мне такого никто не говорил, но риски того, что житель РФ встроит вредоносный код, работающий исключительно внутри РФ существенно ниже, хоть и не нулевые.

11 февраля 2023 в 16:36

А без эмоций и политики?
Какие модули? Ссылки на гит с кусками бекдоров? Ссылки на обсуждения проблем?

Было в одной библиотеке, так там подкинувшему по более другие майнтейнеры надевали, все вернул обратно.

Нечего тащить политику в опенсорс, и сюда на форум тоже.

11 февраля 2023 в 20:35

Советую меньше информационного мусора читать, и тем более его повторять.
Ну и меньше искать гипотетических врагов, заодно...

11 февраля 2023 в 22:34