Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
Por ti
Con esto anuncio mi deseo
Si en verdad lo logro tomaré y comeré por siempre
Tal vez tenga que preguntarme dos veces si es lo que quiero
Tal vez tenga que volver a repetir lo primero
Si quisiera estar contigo esperando a recibir un humo necesario
Moriré de noche, y sin verme por última vez. Encontraré la vida sin quererla.
Y faltará mucho para comenzar a esperarte. Tendré la decencia de no hacerlo notar
Pero siempre sabrás que algo pasa si miras de frente lo que tengo.
Puede ser de tarde y yo aún vendré hacia el lodo
Esto que hay por dentro seguirá sin explicación
Es lo único que queda entre dos o tres restos de la unión
Eso que has traído hasta mi se perdió
Hay tanto tiempo para pensar si culpar al deseo
Yo quice sentarme a trabajar con lo que no tengo
Justamente para saber, es devolver y perder
Entonces tendré que reclamar lo perdido.
#Anon
🗿Latest news about Ston.Fi
Ston.Fi DEX is developing really fast, so we have collected some news from development of exchanger:
✉️ Transaction status – now we can track progress of exchange immediately in site interface. Status of each transaction is updated in real time and we will know exactly when transaction will be sent to blockchain and executed.
🎱 Now #ANON Space uses Ston.Fi SDK - tool for integrating DEX functionality into any project. Based on #StonFi smart contracts, project is launching staking protocol with additional privileges and referral invitations.
🖥 Added to Dextools – now everyone can monitor progress of trading on Ston.fi using Dextools.
🖥 Dextools is tool which allows you track price, trading volume, liquidity, token transactions and other useful information.
👀 Dont know how to start using Ston.fi?
Guide from DEX team
🗿Участники сюжета 4.0
🗿Все анонсированные ранее персонажи появятся в сюжете 4.0(кроме Блейда и Нигилюксы(они будут упомянуты))
🗿Также в сюжете будут участвовать Фуга🦊, Сампо🗿, Скотт и Ликург🌟
✉️Источник: #anon
🌚HSR KIRA | #v4_0