Только проблемка: все зависимости имеют доступ к данным пользователя в оперативке, которые при каждом обращении к серверу туда поступают, плюс доступ к СУБД и/или шинам, очередям событий, к которым подключается приложение. Так что, читать код зависимостей - единственный способ сделать что-то хоть немного более безопасным.
@@MirkoDragovich package-lock, в npm невозможно заменить опубликованную версию, но сам npm уже ломали, да и много людей не умеют правильно пользоваться package-lock и не особо понимают, как безопасно обновляться
Опа, наконец-то практика в видео)) Не то что бы какой-то нудятины хотелось, но всякие РЕАЛЬНЫЕ плюшки глянуть на 2 мин видео = прикольно, нрав. Спасибочки)
стоп, стоп, стоп! Миша, ты путаешь Docker и виртуалуку! да, он безопаснее чем просто закинуть все к себе на хост.. НО! он не равен виртуалке даже близко! Виртуалька это изолированная среда! Docker это частично изолированная среда. он выполняется на тех же ярдах и в той же памяти что и твоя ОС на которой он запущен! большинство работают именно вируталках, в VirtualBox например. у нас много кто в офисе так работали. не в Docker а в виртуалке!
Даже если Докер и не полная изоляция. Из него все равно нужно выбраться. Я не думаю что вредоносные скрипты изначально на это нацелены. Они пытаются схватить, то что плохо лежит в локальной системе.
В корпоративной среде ещё долго идти к тому, чтобы все перешли на какой-нибудь dev container, да и к тому же, код может тырить данные не только с диска
Я уже давно пошёл ещё дальше, у меня почти все приложения запускаются в докере на домашнем ПК. Только браузер не смог заставить работать в докере, а так, даже wine с играми в докере работает ;D
Docker на локальной машине это не про безопастность. Более менее обезопасить свои рабочие данные можно работая через VDI (Virtual Desktop Infrastructure). А вот там уже запускай Docker со средой под конкретную разработку.
Только еще нужно добавить, что если устанавливаете докер на пм з виндовсом, то сам докер запускается под линуксом и постоянно жрет место на жестком диске. Жрет, жрет, жрет... пока там не будет 0
Как это связано с тем, что он запущен в windows? Жрать место может кеш билдера, чтобы не пересобирать одни и те же слои каждый раз. Вроде, размер кеша настраивается
Опана. Вредные советы подъехали. Докер это не про безопасность! И виртуалки тоже не гарантируют безопасность. Единственное что может обезопасить это параноидальное ревью всех пакетов, сэндбоксы без доступа в сеть и прочие харкорные инструменты.
Ну "улице красных фонарей" снимать go-pro можно ? Там правда сотрудники стоят в окнах ? 🙂 Солнечный день снимите. Не забудьте поздравление с Новым Годом для подписчиков.
Если среди дисков нету nfs MW 2005, то это не по православному))))))))) (из-за ограничения производительности пк тех лет игра там вышла урезаной по сюжету и очень урезаной по графике, на иксбокс графика в разы круче - все кто имеют 360, обязаны иметь этот тайтл) 😉
Ну что значит нет доступа к диску? Ведь файловая система докера разворачивается на диске в определенной папке. Не уверен, но мне кажется, что переполнить диск докер может. А еще встречал утверждение, что как песочница в которой можно безопасно запускать теоретически зараженное или вредоносное ПО Docker, VirtualBox или Qemu не подходят, поскольку не дают полную изоляцию и безопасность. Проще говоря они в плане безопасности дырявые и легко могут допустить заражение хост системы, потому что это не входит в их функции и предназначение.
Ну если запускаешь контейнер под рутом, прокидывая корень файловой системы в контейнер, да еще и в сетевом режиме "host", базару нет, контейнер становится сладким местом для вредоносов)
@@stari4ok702 Когда я в последний раз интересовался этим вопросом, то встретил несколько подряд утверждений о том, что Докер не является по-умолчанию хорошей средой для изолированного тестирования потенциально вредоносного кода. Docker (and the same applies to similar container solutions) does not guarantee complete isolation and should not be confused with virtualization. Isolation of containers is achieved through adding some barriers in-between them, but they still use shared resources as the kernel. Virtualization on the other hand has much smaller shared resources, which are easier to understand and well-tested by now, often enriched by hardware features to restrict access. The Linux Kernel is a very large and complex piece of software. And the kernel itself is still shared, if there is an exploit in the kernel, chances are high you can escape to the host (and/or other containers). В документации самого Докера говорится следующее. One primary risk with running Docker containers is that the default set of capabilities and mounts given to a container may provide incomplete isolation, either independently, or when used in combination with kernel vulnerabilities.
Можно сделать дев-сервер и заливать туда код по ftp, или через самбу папку прикрутить. Методы со своими недостатками, но в стародавние времена только так и работали)))
Я бы хотел послушать про здоровье, ибо за 1 год работы у меня зрение в 2 раза упала, может быть это из за стресса, а может из за 10 часовов кодинга каждый день
@@yet300 зачем по 10 часов день сидеть за 13 дюймовым маком, как ты вообще на это согласился? Не удивительно что зрение страдает, осанка наверное тоже. Под каким освещением сидел, офисным? Если лампы дневного света или дешманские диоды которые мерцают, то это комбо, нагрузка на зрение огромная. Работайте перед монитором 25+ дюймов и хорошим дорогим светом и будет счастье, это всем пожелание
@@AlexanderCOOLer занимаюсь заказной разработкой, ибо сейчас в релокейте и фулл тайм работу не могу найти, опыта всего 1 год и не хочу крутить, Приходится на 2 проектах сидеть что бы хотя бы 1500 баксов в месяц получать, А Моник покупать не планирую т.к не уверен что останусь в этой стране
@@bocik2854 докер компос можно запустить без -d флага и все логи будут выводиться, ну и + как автор показал, можно волюмес указать и будет аналог hot-reload, но с hot-reload есть нюансы например с некстом и турбопаком
Каждый день находят какую-то уязвимость в технологии которые мы пользуемся)И успеть закрыть все дыры я думаю не возможно и будет стоить как крыло от Боинга.
13 Никто не восходил на небо, как только сшедший с небес Сын Человеческий, сущий на небесах. 14 И как Моисей вознес змию в пустыне, так должно вознесену быть Сыну Человеческому, 15 дабы всякий, верующий в Него, не погиб, но имел жизнь вечную. 16 Ибо так возлюбил Бог мир, что отдал Сына Своего Единородного, дабы всякий верующий в Него, не погиб, но имел жизнь вечную. 17 Ибо не послал Бог Сына Своего в мир, чтобы судить мир, но чтобы мир спасен был чрез Него. 18 Верующий в Него не судится, а неверующий уже осужден, потому что не уверовал во имя Единородного Сына Божия. 19 Суд же состоит в том, что свет пришел в мир; но люди более возлюбили тьму, нежели свет, потому что дела их были злы; 20 ибо всякий, делающий злое, ненавидит свет и не идет к свету, чтобы не обличились дела его, потому что они злы, 21 а поступающий по правде идет к свету, дабы явны были дела его, потому что они в Боге соделаны. (Иоан.3:13-21)
Только проблемка: все зависимости имеют доступ к данным пользователя в оперативке, которые при каждом обращении к серверу туда поступают, плюс доступ к СУБД и/или шинам, очередям событий, к которым подключается приложение. Так что, читать код зависимостей - единственный способ сделать что-то хоть немного более безопасным.
безопасным до тех пор, пока какая-то "компарация" не выкупит доступ к репозиториям зависимостей и не подстроит их под свой "благой умысель"
@@MirkoDragovich package-lock, в npm невозможно заменить опубликованную версию, но сам npm уже ломали, да и много людей не умеют правильно пользоваться package-lock и не особо понимают, как безопасно обновляться
Так это ж о бэкеньде, я как сюда попал?!
Опа, наконец-то практика в видео)) Не то что бы какой-то нудятины хотелось, но всякие РЕАЛЬНЫЕ плюшки глянуть на 2 мин видео = прикольно, нрав. Спасибочки)
- А где приложение?
- А тааам! В докере!
стоп, стоп, стоп! Миша, ты путаешь Docker и виртуалуку! да, он безопаснее чем просто закинуть все к себе на хост.. НО! он не равен виртуалке даже близко! Виртуалька это изолированная среда! Docker это частично изолированная среда. он выполняется на тех же ярдах и в той же памяти что и твоя ОС на которой он запущен!
большинство работают именно вируталках, в VirtualBox например. у нас много кто в офисе так работали. не в Docker а в виртуалке!
Спасибо, ото я начал думать что это я не понимаю докер, вдруг докер создает полные виртуалки, а я это упустил. Но нет все норм, это он людей путает
согласен, Docker - это скорее про удобный деплоймент среды и избегания ситуаций "на моём компе всё работает"
Даже если Докер и не полная изоляция. Из него все равно нужно выбраться. Я не думаю что вредоносные скрипты изначально на это нацелены. Они пытаются схватить, то что плохо лежит в локальной системе.
а как это деплоить в прод если боишься пакета даже на дев машине? всегда считал что докер для другого придумали
Есть реализация Kata Containers, которая имеет более высокий уровень изоляции. Советую почитать.
В корпоративной среде ещё долго идти к тому, чтобы все перешли на какой-нибудь dev container, да и к тому же, код может тырить данные не только с диска
Я уже давно пошёл ещё дальше, у меня почти все приложения запускаются в докере на домашнем ПК. Только браузер не смог заставить работать в докере, а так, даже wine с играми в докере работает ;D
осталось теперь не запускать такой код с пользовательскими данными на самом сервере, по факту вообще не запускать код со сторонних библиотек типа npm
А юнит-тесты из IDE одной кнопкой?
супер видео
К сожалению это не обезопасит код полностью.
К тому-же существуют малвари под линукс, которые распространяются через образы докер.
вопрос только в том, если есть не безопасные пакеты то стоит ли их использовать ? как будь-то в проде вреда не будет ))
Да тогда надо сразу говорить о дев контейнерах в вскоде, там много контейнеров с готовой средой разработки! А не просто имадж для деплоя
А дебажить как?
10 строчек много, лень. Давай 5)
Docker на локальной машине это не про безопастность. Более менее обезопасить свои рабочие данные можно работая через VDI (Virtual Desktop Infrastructure). А вот там уже запускай Docker со средой под конкретную разработку.
а теперь попробуй запустить дебаггер)
офигеть, чувак переехал в Амстердам. Вообще-то VPN не так должен работать
Только еще нужно добавить, что если устанавливаете докер на пм з виндовсом, то сам докер запускается под линуксом и постоянно жрет место на жестком диске. Жрет, жрет, жрет... пока там не будет 0
Как это связано с тем, что он запущен в windows? Жрать место может кеш билдера, чтобы не пересобирать одни и те же слои каждый раз. Вроде, размер кеша настраивается
Вот оперативки, да, надо много. Я смог нормально работать только с 32Гб
Опана. Вредные советы подъехали. Докер это не про безопасность! И виртуалки тоже не гарантируют безопасность. Единственное что может обезопасить это параноидальное ревью всех пакетов, сэндбоксы без доступа в сеть и прочие харкорные инструменты.
без докера еще хуже все, если стоит вопрос без докера или с ним (а может с чем-то еще лучшим), то стоит выбрать хоть что-то, чем ничего
@@MirkoDragovich ... и накидать туда терабайты спама 😀
Ну "улице красных фонарей" снимать go-pro можно ?
Там правда сотрудники стоят в окнах ? 🙂
Солнечный день снимите.
Не забудьте поздравление с Новым Годом для подписчиков.
нельзя снимать, а то получите штраф. Во время работы комнат, там ходят секьюрити. Солнце было 1 день)))
ваау какой ты умный, абалдеть
докер для секьюрити? хм.. даже не думал об этом
захотел себе такого же AI ассистента
Если среди дисков нету nfs MW 2005, то это не по православному))))))))) (из-за ограничения производительности пк тех лет игра там вышла урезаной по сюжету и очень урезаной по графике, на иксбокс графика в разы круче - все кто имеют 360, обязаны иметь этот тайтл) 😉
Как-то я пробил колесо в выходной, в лесу. Докер меня не спас. А так-то да, докер хороший инструмент
Можно еще запретить запуск приложения от рута внутри контейнера
Ну что значит нет доступа к диску? Ведь файловая система докера разворачивается на диске в определенной папке. Не уверен, но мне кажется, что переполнить диск докер может. А еще встречал утверждение, что как песочница в которой можно безопасно запускать теоретически зараженное или вредоносное ПО Docker, VirtualBox или Qemu не подходят, поскольку не дают полную изоляцию и безопасность. Проще говоря они в плане безопасности дырявые и легко могут допустить заражение хост системы, потому что это не входит в их функции и предназначение.
Ну если запускаешь контейнер под рутом, прокидывая корень файловой системы в контейнер, да еще и в сетевом режиме "host", базару нет, контейнер становится сладким местом для вредоносов)
@@stari4ok702 Когда я в последний раз интересовался этим вопросом, то встретил несколько подряд утверждений о том, что Докер не является по-умолчанию хорошей средой для изолированного тестирования потенциально вредоносного кода.
Docker (and the same applies to similar container solutions) does not guarantee complete isolation and should not be confused with virtualization. Isolation of containers is achieved through adding some barriers in-between them, but they still use shared resources as the kernel. Virtualization on the other hand has much smaller shared resources, which are easier to understand and well-tested by now, often enriched by hardware features to restrict access.
The Linux Kernel is a very large and complex piece of software. And the kernel itself is still shared, if there is an exploit in the kernel, chances are high you can escape to the host (and/or other containers).
В документации самого Докера говорится следующее.
One primary risk with running Docker containers is that the default set of capabilities and mounts given to a container may provide incomplete isolation, either independently, or when used in combination with kernel vulnerabilities.
а что по ssl в докере?
Dev Containers !
Пипец, виртуализация и контейнеризация ушли из логики... Ясно-понятно
Этим же занимаются devopsы, не? Во всех компаниях уж давно приложения запускаются в контейнерах
фронты от уровня миддл минус уже должны уметь в докер, бэкенд с джунов начинает этим промышлять
а фронтенд либы тож под угрозой?
Докер это не виртуальная машина)
?.... виртуальная система - ни разу не виртуальная машина
Да это некомпетентный клоун снимает для таких же некомпетентных клоунов. Знания отсутствуют.
А будет гайд как разрабатывать чтобы тебя ценили на работе и давали 13ю зарплату/премию?
устраиваетесь на работу в Австрию или в Швейцарию и получаете свои 13, и даже 14 зп, при чем все, а не только те кого ценят. Профит
@@frusen_sol в Австрию дураков нет) Швейцария надо еще думать и какой кантон
В общем случае, ваши умения как разработчика не играют никакой роли для получения 13 зарплаты. Начальству нужно нравится.
или работай в крупных компаниях у которых давнее имя в РФ, или работай на себя, выставляй заказы на фриланс сайтах😊
Хахахвхв
я тут открыл для себя ddev )
Я тоже наткнулся месяц назад, но уже куплен MAMP pro, юзаю его
сразу на проде по ssh коннеткишься и пишешь код, на счет безопасности не уверен - уж очень коллегам не нравится
Можно сделать дев-сервер и заливать туда код по ftp, или через самбу папку прикрутить. Методы со своими недостатками, но в стародавние времена только так и работали)))
прикольно наверно писать код сразу на проде без тестирования и ревью.
а что это за фича когда ты пишеь запрос в VS code - а он тебе генерит текст?
ИИ-ассистент. Есть как просто расширения, так и полноценные редакторы кода, созданные на основе VS Code, в которые встроен такой помощник.
@@malyinik Cursor
Doker же это не про безопасность, а про удобство, вроде
Не так ты Миша пальцы показываешь, не так...
Ребята а он дельные вещи как программист говорит или просто хайпует/втирает дичь?
Дичь в основном
Если чё Docker тоже взламывают))))
Я бы хотел послушать про здоровье, ибо за 1 год работы у меня зрение в 2 раза упала, может быть это из за стресса, а может из за 10 часовов кодинга каждый день
Зрение так не падает быстро от нагрузок на глаза. Сходи к хорошему окулисту и сделай обследование
Возможно стоит сменить основной монитор. И не увлекайтесь большой яркостью на девайсах
@@tech-village у меня нету монитора , мак аир 13 яркость средняя
@@yet300 зачем по 10 часов день сидеть за 13 дюймовым маком, как ты вообще на это согласился? Не удивительно что зрение страдает, осанка наверное тоже. Под каким освещением сидел, офисным? Если лампы дневного света или дешманские диоды которые мерцают, то это комбо, нагрузка на зрение огромная. Работайте перед монитором 25+ дюймов и хорошим дорогим светом и будет счастье, это всем пожелание
@@AlexanderCOOLer занимаюсь заказной разработкой, ибо сейчас в релокейте и фулл тайм работу не могу найти, опыта всего 1 год и не хочу крутить,
Приходится на 2 проектах сидеть что бы хотя бы 1500 баксов в месяц получать,
А Моник покупать не планирую т.к не уверен что останусь в этой стране
А дебажить-то как тогда?
А что мешает через докер дебажить?
в консоль выводить)) а вообще есть dev container
@@bocik2854 докер компос можно запустить без -d флага и все логи будут выводиться, ну и + как автор показал, можно волюмес указать и будет аналог hot-reload, но с hot-reload есть нюансы например с некстом и турбопаком
Каждый день находят какую-то уязвимость в технологии которые мы пользуемся)И успеть закрыть все дыры я думаю не возможно и будет стоить как крыло от Боинга.
Hi Ya & best wishes. Thanks for work. Be Happy. Sevastopol/Crimea.
13 Никто не восходил на небо, как только сшедший с небес Сын Человеческий, сущий на небесах.
14 И как Моисей вознес змию в пустыне, так должно вознесену быть Сыну Человеческому,
15 дабы всякий, верующий в Него, не погиб, но имел жизнь вечную.
16 Ибо так возлюбил Бог мир, что отдал Сына Своего Единородного, дабы всякий верующий в Него, не погиб, но имел жизнь вечную.
17 Ибо не послал Бог Сына Своего в мир, чтобы судить мир, но чтобы мир спасен был чрез Него.
18 Верующий в Него не судится, а неверующий уже осужден, потому что не уверовал во имя Единородного Сына Божия.
19 Суд же состоит в том, что свет пришел в мир; но люди более возлюбили тьму, нежели свет, потому что дела их были злы;
20 ибо всякий, делающий злое, ненавидит свет и не идет к свету, чтобы не обличились дела его, потому что они злы,
21 а поступающий по правде идет к свету, дабы явны были дела его, потому что они в Боге соделаны.
(Иоан.3:13-21)
То есть это как Деда Мороза не существует?! 🎅 Перестань обманывать ребенка!
Я мечтаю жить в Нидерландах!!! Австрия!!! Казахстан!!! А сейчас сам живу в росии
А где это, на укрине где-то?
@@dobandvla нет :( недалеко от Ачинска, красноярский край
Про то что докер на маке работает не быстро как то забыл сказать