Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
📣Berkshire Hathaway Баффетта увеличивает долю в Occidental, — Reuters
• Berkshire Hathaway увеличила свою долю в акциях нефтяной компании США примерно до 15,2%. Согласно документам SEC, во вторник было куплено 5,9 млн акций Occidental на сумму около $336 млн.
• Акции Occidental выросли почти в 2 раза с начала года. Среди главных факторов крупные инвестиции таких компаний как Berkshire и рост цен на нефть, вызванный украинским кризисом и избеганием российского сырья.
• На ежегодном собрании акционеров Berkshire 30 апреля Баффетт сообщал, что покупал акции Occidental с 28 февраля по 16 марта 2022 года. Он также отметил, что "в последние пару лет сосредоточились на более ярких акциях, из-за чего рынки временами напоминали казино".
#BRK
@IF_Market_News
⚠️🇺🇸#акции#сша#warning
Berkshire Hathaway (#BRK) провела годовое собрание акционеров:
Грег Абель, новый CEO Berkshire заявил, что хоть ИИ и горячая на данный момент тема, Berkshire не будет "заниматься ИИ ради ИИ"
Уоррен Баффет, председатель сд компании, заявил, что рынки сейчас похожи на казино, а инвесторы еще никогда не были настолько по-лудомански настроены ...
Объем налички на балансе Berkshire опять обновил рекорд (уже $397.4 млрд) - компания продолжает воздерживаться от новых крупных покупок т.к. считает рынок дорогим...
Berkshire продолжает продавать акции...
Пузырь ИИ есть, но мы то знаем, что сдуть его очень тяжело…