Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Улучшить информационную безопасность пользователей репозитория. #45

Open
Enfernuz opened this issue Aug 28, 2020 · 2 comments

Comments

@Enfernuz
Copy link
Owner

Enfernuz commented Aug 28, 2020

Так как проект касается финансовой сферы, то крайне важно обеспечить информационную безопасность для пользователей и разработчиков.
Цель данной задачи состоит в том, чтобы:

  1. подписать доверенной цифровой подписью все бинарные файлы в репозитории и/или приложить хэш-суммы файлов, скачанных с доверенного источника;
  2. обновить README.md внесением туда секции с информацией о том, как можно проверить целостность и происхождение выложенных бинарных файлов.
@Enfernuz Enfernuz changed the title Подписать все бинарные файлы цифровой подписью. Обеспечить информационную безопасность пользователей репозитория. Aug 28, 2020
@Enfernuz Enfernuz changed the title Обеспечить информационную безопасность пользователей репозитория. Улучшить информационную безопасность пользователей репозитория. Aug 28, 2020
@Abrosimov-a-a
Copy link
Contributor

Идея хороша. Я вижу здесь две задачи:

  1. lua53.dll и qlua.dll необходимы только для линковки библиотек, их лучше вообще убрать из репозитория. Проблема в том, что для сборки dll они нужны, а распространяются они только в составе установщика Quik. ИМХО оптимальным решением будет договориться с Arqa о механизме дистрибуции библиотек.

  2. Остаются стандартные библиотеки. Т.к. проект успешно собирается с помощью Mingw, используя его библиотеки, то логичным решением будет избавиться от бинарников в репозитории, вместо этого настроить сборку пакетов Trevis'ом. Пользователи смогут качать пакет для установки из раздела Packages на GitHub.

Итог: В коде проекта dll не будут фигурировать вообще, источники и ход сборки сможет увидеть любой желающий в логах Trevis. Я вижу основной проблемой - легальное получение lua53.dll и qlua.dll напрямую от Arqa, средствами доступными Trevis. Хранение этих библиотек в коде - "не вполне легально", хоть Arqa и закрывает на это глаза.

@Enfernuz
Copy link
Owner Author

Спасибо за полезные предложения, Антон!
Пока этот недочёт является back-burner по приоритету, но обязательно вернёмся к нему после разрешения текущих обнаруженных багов с QUIK 8.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Projects
None yet
Development

No branches or pull requests

2 participants