home.social

#gitflic — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #gitflic, aggregated by home.social.

  1. Троянский форк: от шалости до крита

    Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .

    habr.com/ru/companies/bastion/

    #пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность

  2. Троянский форк: от шалости до крита

    Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .

    habr.com/ru/companies/bastion/

    #пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность

  3. Троянский форк: от шалости до крита

    Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .

    habr.com/ru/companies/bastion/

    #пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность

  4. Троянский форк: от шалости до крита

    Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .

    habr.com/ru/companies/bastion/

    #пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность

  5. Статический анализ OpenIDE

    Если хотите посмотреть, что нашёл статический анализатор PVS-Studio в исходном коде Intellij платформы, используемой OpenIDE, то добро пожаловать в статью.

    habr.com/ru/companies/pvs-stud

    #статический_анализ #статический_анализ_кода #pvsstudio #openide #java #jls #ошибки_в_коде #gitflic #intellij_platform #анализ_программы

  6. Статический анализ OpenIDE

    Если хотите посмотреть, что нашёл статический анализатор PVS-Studio в исходном коде Intellij платформы, используемой OpenIDE, то добро пожаловать в статью.

    habr.com/ru/companies/pvs-stud

    #статический_анализ #статический_анализ_кода #pvsstudio #openide #java #jls #ошибки_в_коде #gitflic #intellij_platform #анализ_программы

  7. Статический анализ OpenIDE

    Если хотите посмотреть, что нашёл статический анализатор PVS-Studio в исходном коде Intellij платформы, используемой OpenIDE, то добро пожаловать в статью.

    habr.com/ru/companies/pvs-stud

    #статический_анализ #статический_анализ_кода #pvsstudio #openide #java #jls #ошибки_в_коде #gitflic #intellij_platform #анализ_программы

  8. Статический анализ OpenIDE

    Если хотите посмотреть, что нашёл статический анализатор PVS-Studio в исходном коде Intellij платформы, используемой OpenIDE, то добро пожаловать в статью.

    habr.com/ru/companies/pvs-stud

    #статический_анализ #статический_анализ_кода #pvsstudio #openide #java #jls #ошибки_в_коде #gitflic #intellij_platform #анализ_программы

  9. Чанковая загрузка артефактов CI/CD: оптимизация передачи файлов

    Всем привет! Меня зовут Бороздин Филипп, я разработчик платформы GitFlic. Вместе с командой мы создаем продукт, включающий в себя все возможности Git, автоматическое тестирование и анализ кода, CI/CD, реестр пакетов, а также множество других фич, с полным списком которых вы можете ознакомиться на

    habr.com/ru/companies/astralin

    #git #разработка #gitflic #cicd #cicdконвейер #итсообщество

  10. Протестировал две российские системы работы с кодом. Что у меня (не) получилось

    Как специалисту из области DevOps мне необходимо часто использовать различные инструменты автоматизации для решения рабочих задач. А еще я стараюсь применять некоторые механизмы в своих пет-проектах. Например, когда я занялся разработкой на ОС «Аврора», одной из первых насущных задач стала настройка пайплайна сборки приложений. В исходной версии использовал GitLab, так как активно пользовался им и завел в проекты несколько виртуальных машин для сборок. Однако в последнее время знакомые и коллеги начали нередко заводить проекты в других сервисах. Мне стало интересно — можно ли найти на российском рынке что-то конкурентоспособное? Давайте разберемся!

    habr.com/ru/articles/886192/

    #аврора #мобильная_разработка #devops #gitflic #gitverse #cicd #мобильные_устройства #aurora

  11. Протестировал две российские системы работы с кодом. Что у меня (не) получилось

    Как специалисту из области DevOps мне необходимо часто использовать различные инструменты автоматизации для решения рабочих задач. А еще я стараюсь применять некоторые механизмы в своих пет-проектах. Например, когда я занялся разработкой на ОС «Аврора», одной из первых насущных задач стала настройка пайплайна сборки приложений. В исходной версии использовал GitLab, так как активно пользовался им и завел в проекты несколько виртуальных машин для сборок. Однако в последнее время знакомые и коллеги начали нередко заводить проекты в других сервисах. Мне стало интересно — можно ли найти на российском рынке что-то конкурентоспособное? Давайте разберемся!

    habr.com/ru/articles/886192/

    #аврора #мобильная_разработка #devops #gitflic #gitverse #cicd #мобильные_устройства #aurora

  12. Протестировал две российские системы работы с кодом. Что у меня (не) получилось

    Как специалисту из области DevOps мне необходимо часто использовать различные инструменты автоматизации для решения рабочих задач. А еще я стараюсь применять некоторые механизмы в своих пет-проектах. Например, когда я занялся разработкой на ОС «Аврора», одной из первых насущных задач стала настройка пайплайна сборки приложений. В исходной версии использовал GitLab, так как активно пользовался им и завел в проекты несколько виртуальных машин для сборок. Однако в последнее время знакомые и коллеги начали нередко заводить проекты в других сервисах. Мне стало интересно — можно ли найти на российском рынке что-то конкурентоспособное? Давайте разберемся!

    habr.com/ru/articles/886192/

    #аврора #мобильная_разработка #devops #gitflic #gitverse #cicd #мобильные_устройства #aurora

  13. Протестировал две российские системы работы с кодом. Что у меня (не) получилось

    Как специалисту из области DevOps мне необходимо часто использовать различные инструменты автоматизации для решения рабочих задач. А еще я стараюсь применять некоторые механизмы в своих пет-проектах. Например, когда я занялся разработкой на ОС «Аврора», одной из первых насущных задач стала настройка пайплайна сборки приложений. В исходной версии использовал GitLab, так как активно пользовался им и завел в проекты несколько виртуальных машин для сборок. Однако в последнее время знакомые и коллеги начали нередко заводить проекты в других сервисах. Мне стало интересно — можно ли найти на российском рынке что-то конкурентоспособное? Давайте разберемся!

    habr.com/ru/articles/886192/

    #аврора #мобильная_разработка #devops #gitflic #gitverse #cicd #мобильные_устройства #aurora

  14. Рад (и несколько удивлён), что планы по открытию у нас в стране своего аналога GitHub/GitLab и прочих хостингов кода не остались просто планами и были реализованы.

    По ссылке ещё много текста и более подробно.

    3dnews.ru/1054747/v-rossii-zap

    #3DNews #GitHub #GitLab #GitFlic