Телеграмм чат группы pro

Есть гарантии отсутствия RCE в 3.1 или 5.0?

10:28пожаловаться #1

A

Ilya Chernoudov

Дак xml эксплойт

Ссылку, пожалуйста.

10:28пожаловаться #2

AK

Andrei Kurosh in pro.net

Ну, я строго говоря, не очень могу обосновать своё решение о переходе с 2.2 на 5.0 или 3.1

Чтобы не попасть в ситуацию, когда новая мелкая срочная фича внезапно потребует в N раз больше времени, потому что ее реализация потребует переезжать на 3.1+

10:28пожаловаться #3

A

Чтобы не попасть в ситуацию, когда новая мелкая срочная фича внезапно потребует в N раз больше времени, потому что ее реализация потребует переезжать на 3.1+

Не потребует.

10:28пожаловаться #4

W

WhiteBlackGoose in pro.net

Чтобы не попасть в ситуацию, когда новая мелкая срочная фича внезапно потребует в N раз больше времени, потому что ее реализация потребует переезжать на 3.1+

Надо найти эту фичу)

10:29пожаловаться #5

AK

Andrei Kurosh in pro.net

WhiteBlackGoose

Надо найти эту фичу)

Чувак, это не про конкретную фичу, это про планирование разработки. Когда такая фича будет найдена будет уже поздно

10:29пожаловаться #6

A

И как раз таки наличие такой фичи - прекрасный аргумент за переезд

10:29пожаловаться #7

ES

Чтобы не попасть в ситуацию, когда новая мелкая срочная фича внезапно потребует в N раз больше времени, потому что ее реализация потребует переезжать на 3.1+

если говорить про рантайм то не потребует,чаще всего всё упирается в nuget пакеты которые требуют более новый рантайм, и тебе вынуждено приходится переходить туда

Microsoft Updates .NET Core, Issues Remote Code Execution Security Advisory -- Visual Studio Magazine

10:30пожаловаться #8

IC

Ilya Chernoudov in pro.net

Microsoft Updates .NET Core, Issues Remote Code Execution Security Advisory -- Visual Studio Magazine
https://visualstudiomagazine.com/articles/2020/07/15/net-core-security-update.aspx?m=1

Visual Studio Magazine

Microsoft issued security updates for .NET Core while releasing a security advisory about a remote code execution vulnerability.

10:30пожаловаться #9

ES

И как раз таки наличие такой фичи - прекрасный аргумент за переезд

+

10:30пожаловаться #10

W

WhiteBlackGoose in pro.net

Чувак, это не про конкретную фичу, это про планирование разработки. Когда такая фича будет найдена будет уже поздно

Я понимаю, но если мы обсуждаем переезд бизнеса, то кого-то придется убеждать в необходимости

10:30пожаловаться #11

IC

Ilya Chernoudov in pro.net

Ссылку, пожалуйста.

^

10:30пожаловаться #12

A

Ilya Chernoudov

^

Спасибо, не наш случай.

10:30пожаловаться #13

A

Мы защищены путём неиспользования XML

10:30пожаловаться #14

IC

Ilya Chernoudov in pro.net

Спасибо, не наш случай.

Хмл не балуетесь?

10:31пожаловаться #15

ES

мы тоже

10:31пожаловаться #16

ES

xml это ж банковская древняя хуйня

10:31пожаловаться #17

AK

Andrei Kurosh in pro.net

WhiteBlackGoose

Я понимаю, но если мы обсуждаем переезд бизнеса, то кого-то придется убеждать в необходимости

Я еще раз говорю. Можно сидеть на старой версии - это означает копить техдолг, который может потребоваться выплатить в самый неожиданный момент разом. Или просто планомерно обновляться и тем самым защититься от таких рисков, сделав разработку более предсказуемой. Такие слова любой бизнес должен понимать

10:32пожаловаться #18

W

WhiteBlackGoose in pro.net

Я еще раз говорю. Можно сидеть на старой версии - это означает копить техдолг, который может потребоваться выплатить в самый неожиданный момент разом. Или просто планомерно обновляться и тем самым защититься от таких рисков, сделав разработку более предсказуемой. Такие слова любой бизнес должен понимать

Если понимает - проблем нет.

10:32пожаловаться #19

A

Так-то, я перевожу по возможности всякое на 5.0 уже. И использую как раз аргумент про out of support, но обоснование шаткое. Особенно для сервисов, в которые код уже не пишем