#gitflic — Public Fediverse posts

Троянский форк: от шалости до крита

Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .

https://habr.com/ru/companies/bastion/articles/1031994/

#пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность

Статический анализ OpenIDE

Если хотите посмотреть, что нашёл статический анализатор PVS-Studio в исходном коде Intellij платформы, используемой OpenIDE, то добро пожаловать в статью.

https://habr.com/ru/companies/pvs-studio/articles/969540/

#статический_анализ #статический_анализ_кода #pvsstudio #openide #java #jls #ошибки_в_коде #gitflic #intellij_platform #анализ_программы