Представлен первый выпуск проекта Gixy-Next, развивающего статический анализатор для файлов конфигурации Nginx, позволяющий выявлять проблемные настройки, негативно влияющие на безопасность и производительность. Проект развивает Джошуа Роджерс (Joshua Rogers), несколько лет назад выявивший 55 уязвимостей в прокси-сервере Squid. Gixy-Next создан как форк проекта Gixy-ng, продолжавшего развитие инструментария Gixy, открытого компанией Yandex в 2017 году и последние два года не обновлявшегося. В качестве причины создания нового форка называется недовольство действиями мэйнтейнера проекта Gixy-ng, злоупотребляющего использованием AI-инструментов при разработке. Форк создан после того, как в репозиторий стали добавляться автоматические сгенерированные изменения, не прошедшие должного рецензирования и приводящие к возникновению регрессий и нарушению поведения инструментария. В коде стали появляться бессмысленные артефакты от применения AI и функции, которые не делали то, что должны были. Например, вносились раздутые исправления, занимавшие тысячи строк, которые можно было заменить 10-строчным патчем. Более того, в документацию и встроенную подсказку была добавлена реклама, а сторонние pull-запросы принимались с вырезанием информации об авторах.
В Gixy-Next проведена чистка кодовой базы от мусорных изменений, созданных при помощи AI, исправлены ошибки, налажено тестирование на крупных файлах конфигурации NGINX и добавлены изменения для упрощения сопровождения кодовой базы. Из новых возможностей Gixy-Next по сравнению с оригинальным Gixy отмечается:
Источник: https://www.opennet.ru/opennews/art.shtml?num=64594
В Gixy-Next проведена чистка кодовой базы от мусорных изменений, созданных при помощи AI, исправлены ошибки, налажено тестирование на крупных файлах конфигурации NGINX и добавлены изменения для упрощения сопровождения кодовой базы. Из новых возможностей Gixy-Next по сравнению с оригинальным Gixy отмечается:
- 19 новых плагинов, проверяющих корректность настроек, связанных с управлением доступом, DNS, проксированием и регулярными выражениями, а также выявляющих настройки, приводящие к дополнительным накладным расходам и снижению производительности. Среди добавленных плагинов: allow_without_deny, return_bypasses_allow_deny, proxy_pass_normalized, merge_slashes_on, resolver_external, stale_dns_cache, version_disclosure, invalid_regex, regex_redos, add_header_content_type, add_header_multiline, add_header_redefinition, default_server_flag, error_log_off, hash_without_default, if_is_evil, try_files_is_evil_too, unanchored_regex, low_keepalive_requests, worker_rlimit_nofile_vs_connections, proxy_buffering_off. Стандартизированный и воспроизводимый вывод отчётов, пригодный для автоматизированного разбора. Поддержка модулей map и geo. Модернизация плагинов origins, ssrf, http_splitting, alias_traversal и valid_referers для снижения ложных срабатываний и более точного обнаружения проблем. Корректная обработка дополнительных файлов конфигурации, подключаемых через директиву "include". Улучшение проверки регулярных выражений. Возможность сборки в виде Online-сканера, работающего в браузере.
Источник: https://www.opennet.ru/opennews/art.shtml?num=64594