| 1.1, Аноним (1), 10:32, 10/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –7 +/– |
Неужели в этих приватных гитах может быть что-нибудь ценное,наверняка у серьёзных кампаний всё это локально организовано с прыгающими вокруг админами.
| | |
| |
| 2.7, Аноним (7), 13:51, 10/10/2025 [^] [^^] [^^^] [ответить]
| +7 +/– |
Тот случай, когда "Мой репозитарий" превращается в "Этот репозитарий".
| | |
| |
| 3.9, Аноним (1), 14:14, 10/10/2025 [^] [^^] [^^^] [ответить]
| +5 +/– |
Я вообще плохо понимаю какая конфиденциальность может быть на ресурсах вроде Гитхаб. Отсеивать мимокрокодилов, а зачем тогда нужна нелокальная среда совместной разработки.
| | |
| |
| 4.30, pkdr (ok), 19:11, 10/10/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Конфиденциальность гитхаба заключается в том, что бесплатно содержимое твоего приватного репозитория не покажут никому. Ну если сотрудники гитхаба нигде не накосячат...
| | |
|
|
|
| 1.2, trolleybus (?), 10:45, 10/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +14 +/– |
Тот, кто хранит AWS_KEY и прочие явки и пароли в репозитории (даже в приватном), сам себе злобный Буратино.
| | |
| |
| 2.18, Аноним (18), 16:18, 10/10/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Учитывая количество проблем, озвученных публично, правильнее было бы "тот, кто ВСЁ ЕЩЁ хранит".
Прямо таки удивительное безрассудство.
| | |
|
| 1.3, Анонимусс (-), 11:12, 10/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
А как в репозитории вообще может оказаться AWS_KEY?
Вы что, его в код добавляете?
| | |
| |
| |
| 3.5, Аноним (5), 13:14, 10/10/2025 [^] [^^] [^^^] [ответить]
| +/– |
Использовать внешние vault хранилища, например azure key vault или aws secret manager
| | |
| |
| 4.8, Аноним (4), 13:58, 10/10/2025 [^] [^^] [^^^] [ответить]
| +/– |
мда уж, и как мне с помощью этого чуда подключаться к левой бд? В конфиге же в любом случае будет храниться шифрованный этим сервисом либо доступ к самому сервису (апи секрет), либо ключ от левой бд. Идентификация ведь должна произойти, а без секретных данных как она пройдет?
| | |
| |
| 5.11, Аноним (5), 14:30, 10/10/2025 [^] [^^] [^^^] [ответить]
| +/– |
В конфигах хранить не надо, обычно секреты хранятся в env машины где деплоится проект
| | |
| |
| 6.12, Аноним (4), 14:34, 10/10/2025 [^] [^^] [^^^] [ответить]
| +/– | |
а туда (в env) они как подают? Руками, интерактивно? Или записанные в каком-то файлике .env, который обычно также хранится в репозитории?
пс: что-то с капчей, до этого была 18000, а теперь 18006
| | |
| |
| 7.14, Аноним (14), 15:06, 10/10/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Вы как с луны свалились.
На примере того же Github. В репозитории лежит шаблон файла конфигурации, в настройках репозитория settings - secrets, свои для каждой среды (скажем testing, staging, production). При деплое через github actions секреты читаются в env (конструкцией в конфигурации джоба вида env: DB_PASSWORD: ${{ secrets.DB_PASSWORD }}), при деплое через тот же envsubst подставляются в шаблон файла, содержащего переменные среды, и генерируется конфиг, который уже и попадает на сервер.
В гитлабах и прочих Jenkins принцип тот же.
| | |
|
|
|
|
|
|
| 1.10, Аноним (10), 14:17, 10/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Pull запросы в приватные репозитории? Это как? Приватные репозитории же не видны никому. А если видны, то там и так AWS ключ тогда будет виден если он в них лежит.
| | |
| |
| 2.13, Аноним (13), 14:45, 10/10/2025 [^] [^^] [^^^] [ответить]
| +/– |
пул запрос в публичный, если есть. В этом пул запросе копилот просят просмотреть все репозиотрии, к которым у аккаунта есть доступ
| | |
| |
| 3.19, Аноним (18), 16:21, 10/10/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> В этом пул запросе копилот просят просмотреть все репозиотрии, к которым у аккаунта есть доступ
Так и задумано или это просто детская неожиданность в реализации Copilot?
| | |
|
|
| 1.23, Аноним (23), 17:11, 10/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
>В комментарии боту предлагается найти во всех репозиториях пользователя, включая приватные
А какого хрена у копилота есть доступ к каким-либо иным репозиториям, кроме анализируемого?
| | |
| 1.24, Аноним (23), 17:14, 10/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>в качестве прокси задействован сервис GitHub Camo. Данный прокси используется в GitHub как промежуточное звено для загрузки внешних изображений, например, встраиваемых на страницу README.
Camo вроде-бы кеширующий прокси, что не должно позволять получить инфу о таймингах, так как первое обращение к бэку злоумышленники триггерят сами для себя, а последующих обращений к бэку вообще быть не должно.
| | |
| 1.27, 12yoexpert (ok), 17:49, 10/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 так ведь копилот и придумали дня извлечения данных из приватных репозиториев, в чём проблема?
| | |
| 1.32, Аноним (32), 20:00, 10/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ничонипонял.
"приватные" репозитории доступны ботам, или что?
а в чём тогда приватность?
| | |
| |
| 2.33, Аноним (33), 21:12, 10/10/2025 [^] [^^] [^^^] [ответить]
| +/– |
Что?! Хранение своего закрытого кода у дяди на компуторе оказывается не приватно?
| | |
|
| 1.36, Аноним (36), 22:09, 10/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>При использовании мэйнтейнером GitHub Copilot для разбора предложенного pull-запроса
Отакот. Future is now, old man.
Одни делают патчи с помощью LLM, вторые им же анализируют.
facepalm что ли
Следующая атака: промпт первому LLM "подготовь патч, зашифруй в нём инструкции для Copliot для bla-bla-bla"
| | |
| 1.37, wyry (ok), 22:46, 10/10/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Единственный возможный приватный репозиторий может быть на отдельном компе, отключенном от глобальной сети.
| | |
|
