Как я изолирую свои опенсорс-проекты, чтобы вредоносный...

Как я изолирую свои опенсорс-проекты, чтобы вредоносный скрипт из node_modules не украл куки из браузера.

Система строится на Dev Container, так как изолировать надо и текстовый редактор (многие плагины типа Prettier используют ненадёжный код из node_modules).

У меня есть Dockerfile рабочей машины. Node.js и pnpm стоят только внутри этого контейнера, на ноутбуке инструментов разработки нет.

В Докере я запускаю ту же Fedora 40, что и на ноутбуке.

https://github.com/ai/environment/blob/main/devcontainer/Dockerfile

↓

Like 21 May 2024 at 11:46 | Open on mastodon.social

11 comments

Андрей Ситник

В контейнере я на всякий случай выключаю post-install скрипты в pnpm. Это не абсолютная защиты (ещё есть импорты, плагины для ESLint и т. п.), но лучше явно запускать скрипты зависимостей, добавив инструкцию в README.md.

https://github.com/ai/environment/blob/main/devcontainer/Dockerfile#L20

У меня есть скрипт для сборки Dockerfile в образ с тегом localhost/ai-opensource.
https://github.com/ai/environment/blob/main/bin/build-devcontainer

В каждый проект я помещаю этот конфиг, он говорит редактору запустить папку внутри образа localhost/ai-opensource.
https://github.com/ai/environment/blob/main/devcontainer/devcontainer.json

https://github.com/ai/environment/blob/main/devcontainer/Dockerfile#L20

У меня есть скрипт для сборки Dockerfile в образ с тегом localhost/ai-opensource.
https://github.com/ai/environment/blob/main/bin/build-devcontainer

Expand text...

21 May 2024 at 11:46 | Open on mastodon.social

Андрей Ситник

Опенсорс-проектов у меня много, они все маленькие, там общий .devcontainer.json будет мешать (в отличие от больших рабочих проектов).

Поэтому этот конфиг я скрываю от git.
https://github.com/ai/environment/blob/main/zshrc#L133-L135

В больших рабочих проектах уже общий конфиг в git.
https://github.com/hplush/slowreader/blob/main/.devcontainer/podman/devcontainer.json

Конфиг .devcontainer.json — это не какая-то фишка VS Code.

Это открытый стандарт. Его поддерживает JetBrains и куча мелких инструментов.
https://containers.dev/supporting

И есть JS API, чтобы встроить его поддержку в любую среду.

Поэтому этот конфиг я скрываю от git.
https://github.com/ai/environment/blob/main/zshrc#L133-L135

В больших рабочих проектах уже общий конфиг в git.
https://github.com/hplush/slowreader/blob/main/.devcontainer/podman/devcontainer.json

Expand text...

21 May 2024 at 11:47 | Open on mastodon.social

Андрей Ситник

VS Code видя .devcontainer.json сразу предлагает мне запустить проект в контейнере.

В настройках VS Code указано какие плагины должны переехать тогда в контейнер.
https://github.com/ai/environment/blob/main/vscode.json#L83-L96

Терминал в VS Code так же запускается внутри контейнера (хотя можно запустить и снаружи).

21 May 2024 at 11:48 | Open on mastodon.social

Андрей Ситник

В настройках VS Code можно указать репозиторий со своими конфигами среды и скриптом установки
https://github.com/ai/environment/blob/main/vscode.json#L102-L103

После сборки образа VS Code запустит скрипт и у вас будет шелл, как в вашей обычной системе — тот же prompt, те же алиасы.
https://github.com/ai/environment/blob/main/devcontainer/install-dotfiles

21 May 2024 at 11:48 | Open on mastodon.social

Андрей Ситник

Так как у меня podman, а не docker, то я могу даже шарить быстрый pnpm-кеш на ссылках между проектами. В podman volume — это btrfs-диск и hard link работают между ними.

https://github.com/ai/environment/blob/main/devcontainer/devcontainer.json#L5-L9

И даже история консоли общая
https://github.com/ai/environment/blob/main/devcontainer/devcontainer.json#L10-L14
https://github.com/ai/environment/blob/main/zshrc#L69

21 May 2024 at 11:48 | Open on mastodon.social

Андрей Ситник

В конфиге шелла, я с помощью проверки переменной $container понимаю, внутри ли я контейнера.

Исходя из этого накладываю немного разные настройки.

Например, снаружи контейнера я выключаю git-хуки
https://github.com/ai/environment/blob/main/zshrc#L138
https://github.com/ai/environment/blob/main/bin/no-hooks-git

С помощью devcontainer/cli можно работать с контейнером и из обычной консоли, вне VS Code.

Я сделал скрипт devup для запуска контейнера и dev для запуска скриптов внутри контейнера.

https://github.com/ai/environment/blob/main/zshrc#L75-L129

В конфиге шелла, я с помощью проверки переменной $container понимаю, внутри ли я контейнера.

Исходя из этого накладываю немного разные настройки.

Expand text...

21 May 2024 at 11:48 | Open on mastodon.social

Андрей Ситник

Все свои рабочие скрипты и команду pnpm в ноутбуке я сделал алиасом для dev — так что pnpm test продолжает работать в обычной консоли, просто запускает всё внутри Dev Container.

https://github.com/ai/environment/blob/main/zshrc#L55-L61

https://github.com/ai/environment/blob/main/zshrc#L131

21 May 2024 at 11:48 | Open on mastodon.social

Андрей Ситник

В итоге:
1. VS Code стартует на десяток секунд дольше (поднимает образ).
2. Но в остальном всё работает с той же скоростью (Докер в Линуксе не тратит ресурсы особо).
3. Всё изолирована — риски от взлома минимальны.
4. Рабочие привычки не изменились особо.

Спрашивайте вопросы.

21 May 2024 at 11:49 | Open on mastodon.social

Andrej

@sitnik_ru Я с npm не работаю, так что не знаю в какие моменты там запускается код сторонних библиотек, но не решит ли проблему полная изоляция (файловая система, сеть) запускаемого приложения (e.g. nodejs) и отдельный браузер.

21 May 2024 at 11:58 | Open on mas.to

Андрей Ситник

@alberand ну podman это же фактически оно и есть, просто пространство имён в файловой системе, сети и ID пользователей (докер в Линуксе не виртуалка, а просто режим работы ядра).

Но изоляция только скриптов не поможет, так как плагины IDE часто используют зависимости (например, Language Server).

21 May 2024 at 14:17 | Open on mastodon.social

Андрей Ситник

У меня есть правило, что если где-то ставлю версию, то надо заранее подумать, кто и как её будет обновлять.

Поэтому и для Dev Container написал скрипт, проверяющий свежие версии Node.js и pnpm
https://github.com/ai/environment/blob/main/bin/update-dockerfile

Вызываю его при обновлении системы
https://github.com/ai/environment/blob/main/bin/update

(Да, перевёл ноутбук и смартфон на испанский, чтобы практиковать язык — поэтому в скриптах вывод тоже на испанском)

У меня есть правило, что если где-то ставлю версию, то надо заранее подумать, кто и как её будет обновлять.

Поэтому и для Dev Container написал скрипт, проверяющий свежие версии Node.js и pnpm
https://github.com/ai/environment/blob/main/bin/update-dockerfile

Вызываю его при обновлении системы
https://github.com/ai/environment/blob/main/bin/update

Expand text...

22 May 2024 at 9:59 | Open on mastodon.social