 |
|
| node: | Re[5]: n8n |
| template: | 4 |
| parent: | Re[4]: n8n |
| owner: | CARBON IN DISGUISE |
| viewed by: | |
| created: | 17.12.2025 - 12:23:01 |
|
cwbe coordinatez: 101 63540 9280435 9282154 9282267 9282273 9282427 9282439 9282472 ABSOLUT KYBERIA |
| permissions | |
| you: | r, |
| system: | public |
| net: | yes |
total descendants::1
total children::1
1 ❤️
hej presne!
personal (shamefull) story: vzdy som si vravel ze ludia su blbci ked toto urobia a minule som zapol https://aikido.dev a tiez som objavil v nejakom zapadnutom commite S3 admin secret :/ a teda uz som zistil, ze velakrat chyba, nie je pre zle .env alebo git config, ale proste nezpornost - u debugu niecoho odides na zachod, ked sa vratis testy bezia, all green ... Granularita S3 keys je tiez neprakticka, tak lahsi je debug s test admin klucom. Sranie sa s loadovanim env v nejakom random debug scripte - rychlejsie je ho tam placnut - ved iba na sekundu.
Release robim vzdy rucne, mam MFA, pouzivam uplne minimum deps, subory pred commitom prechadzam cez UI/gitu - akurat vtedy raz som nebol pozorny a prehliadol som nejaky kus suboru (este zakomentovany kod!) co bol len na testing/debug ... a dal som "git add ." a je to! Som si isty ze na niektorom projekte som uz takuto botu urobil a myslim ze github ma nenechal pushnut. Teraz som sa zabudol + asi spoliehal na ten nastroj, ktory medzicasom niekde zmizol(opt-out?) alebo sa zmenil default config?
Unpopular opinion, ale za vela % problemov (extra v dev/op-sec) je zly/neprakticky dizajn nastrojov pre lamy ako som ja.
- Npm/node/bun by uz davno mohli mat built-in izolaciu, automaticke cache deletion po utokoch, vypnute "npm config set ignore-scripts true --location=global" by default s whitelistom, nepovolit package release bez updatu a pin deps by default, enfrocovat 2FA
- Git a rozne uicka zase built-in scanners na detekciu secrets, alebo aspon triggr keywords. Motivovat ludi prechadzat pri stage zmeny jednu po druhej...
Avsak kontrolovat a prechadzat kod pri kazdej dependency sa mi zda nerealne. Hlavne malware moze byt obfuscated a strceny v strome niekde uplne hlboko. Dnes, ked ludia instaluju Claude Code s global pristupom na stroj sa malware transformuje na neviditelne glyphs v nejakom readme alebo favicone a si KO.
personal (shamefull) story: vzdy som si vravel ze ludia su blbci ked toto urobia a minule som zapol https://aikido.dev a tiez som objavil v nejakom zapadnutom commite S3 admin secret :/ a teda uz som zistil, ze velakrat chyba, nie je pre zle .env alebo git config, ale proste nezpornost - u debugu niecoho odides na zachod, ked sa vratis testy bezia, all green ... Granularita S3 keys je tiez neprakticka, tak lahsi je debug s test admin klucom. Sranie sa s loadovanim env v nejakom random debug scripte - rychlejsie je ho tam placnut - ved iba na sekundu.
Release robim vzdy rucne, mam MFA, pouzivam uplne minimum deps, subory pred commitom prechadzam cez UI/gitu - akurat vtedy raz som nebol pozorny a prehliadol som nejaky kus suboru (este zakomentovany kod!) co bol len na testing/debug ... a dal som "git add ." a je to! Som si isty ze na niektorom projekte som uz takuto botu urobil a myslim ze github ma nenechal pushnut. Teraz som sa zabudol + asi spoliehal na ten nastroj, ktory medzicasom niekde zmizol(opt-out?) alebo sa zmenil default config?
Unpopular opinion, ale za vela % problemov (extra v dev/op-sec) je zly/neprakticky dizajn nastrojov pre lamy ako som ja.
- Npm/node/bun by uz davno mohli mat built-in izolaciu, automaticke cache deletion po utokoch, vypnute "npm config set ignore-scripts true --location=global" by default s whitelistom, nepovolit package release bez updatu a pin deps by default, enfrocovat 2FA
- Git a rozne uicka zase built-in scanners na detekciu secrets, alebo aspon triggr keywords. Motivovat ludi prechadzat pri stage zmeny jednu po druhej...
Avsak kontrolovat a prechadzat kod pri kazdej dependency sa mi zda nerealne. Hlavne malware moze byt obfuscated a strceny v strome niekde uplne hlboko. Dnes, ked ludia instaluju Claude Code s global pristupom na stroj sa malware transformuje na neviditelne glyphs v nejakom readme alebo favicone a si KO.