Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
😄Account
➖➖➖➖➖➖
🔘An account is a record. We often use it to talk about recording money. If a bank looks after your money, you have an account with them. The arrangement that a business has with a client can also be called an account.
🔜You should put that money in a saving account.
🔜I'm responsible for the company's biggest account.
🔘An account can also be a description of something that happened, or a story.
🔜The police wanted to hear his account of what happened.
🔘We also use account in some common expressions. If you take something into account, then you consider it and if you account for something you explain why it happened.
🔜You'll need to take many factors into account to make this decision.
🔜We need you to account for your behaviour.
#Account👨🏫@America
➖➖➖➖➖➖➖➖➖➖➖➖
🆕 Crypto News @Money
😁 Crypto Game @Egame
🇺🇸 US News @America
🇯🇵 Japan News @Japan
🇦🇪 UAE News @Dubai
▶️ Popular Movies @Videos
😜 Best Funny Video @Funnys
@creationdatebot
Qué puede hacer este bot?
Este bot interpola las fechas de creación de cuentas basadas en ID de telegrama dado
Idioma: Inglés, Español, Ruso, uzbeco, Polaco, Árabe
(visto en @BotsGram_cu)
#account, #creationdate, #ids
@CheckRestrictionsBot
Qué puede hacer este bot?
Te ayudaré a saber qué restricciones tienen tus bots, grupos o canales.
Idioma: Inglés
(visto en @BotsGram_cu)
#restrict, #restrict, #restriction, #account, #check, #telegram, #private, #channels
@getaltsbot
Qué puede hacer este bot?
Este bot le permite alquilar números reales de teléfono por un período de 20 minutos para registrar cuentas de Telegram, Google, WhatsApp.
Idioma: Inglés
(visto en @BotsGram_cu)
#alt, #account, #phonenumber, #paid, #buy, #identity, #telegram
@pwned_robot
Qué puede hacer este bot?
Telegram Bot que puede comprobar si tiene una cuenta o contraseña que se ha visto comprometida en una violación de datos. Uso limitado (se pagan pocas opciones).
Idioma: Inglés
(visto en @BotsGram_cu)
#breach, #security, #hack, #password, #account, #compromised, #pwned, #checkpsw, #paste, #paid