Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
Carlo #Calenda: “UN CAMPO CHIAMATO GIUSEPPI
Fatti. 1) le opposizioni chiedono di essere informate prontamente sulla guerra in Medio Oriente; 2) la Premier offre un tavolo di confronto in un formato più riservato a P Chigi, dopo essere stata in Parlamento; 3) Conte dice no obbligando Schlein a seguirlo. 4) Italia Viva, che ci aveva chiesto di fare una mozione insieme su Iran, manda una nota incomprensibile dicendo la pensa come il PD, che però fa ciò che decide Conte. Andate avanti con questo campo largo ma chiamatelo con il suo vero nome: Giuseppi. PS segnalo agli amici riformisti che m5S si è astenuto su una mozione di condanna alla Russia per il reclutamento di mercenari africani. Così per gradire”
@UltimoraPolitics24
Carlo #Calenda: "Gratteri è chiaramente fuori controllo. Oggi minaccia Il Foglio apertamente. Un magistrato che minaccia un giornale è da sospensione immediata. Esattamente quanto un capo di gabinetto della Ministero della giustizia che insulta i magistrati. Fateci una cortesia: mettetevi da parte entrambi. E torniamo a parlare di contenuti."
@UltimoraPolitics24
Il leader di Azione Carlo #Calenda osserva: "Il problema dell'Italia è che è un paese anarchico non liberticida" e valuta di buonsenso alcune norme del decreto sicurezza, come il fermo preventivo e la stretta sui coltelli; auspica però misure per centri per i rimpatri in ogni regione.
@UltimoraPolitics24
Carlo #Calenda ha dichiarato: "A Torino si conferma il fatto che Askatasuna altro non è che un gruppo di violenti pericolosi. Totale solidarietà di Azione alle forze dell'ordine".
@UltimoraPolitics24
Carlo #Calenda ha criticato il governo sul tema sicurezza: "non è capace di fare l’unica cosa che la destra dovrebbe saper fare, cioè mettere più Carabinieri e Polizia per Strada, avere dei centri per i rimpatri non in Albania, che costano un sacco di soldi e non c’entrano niente ed essere capaci di evitare quel fenomeno assurdo per cui se sei un immigrato irregolare che delinqui ti do il foglio di Via e tu torni a delinquere due minuti dopo".
@UltimoraPolitics24
Carlo #Calenda: “L'arresto di Hannoun dimostra che c'è una pesante infiltrazione dell'estremismo islamico nei movimenti proPal. Sostenere la nascita dello Stato Palestinese e sostenere Hamas sono due cose molto diverse. Hamas è un movimento terrorista e chi lo sostiene va arrestato e processato”.
@UltimoraPolitics24
Carlo #Calenda: "Un pezzo di Forza Italia ha voluto dare un messaggio. Se questo è l'esordio del dopo Berlusconi la maggioranza rischia il caos"
@UltimoraPolitics
Carlo #Calenda: "Esprimo le condoglianze mie e di Azione alla famiglia e alla comunità di Forza Italia, per la morte di Silvio Berlusconi. Ha lottato fino alla fine contro la malattia con un coraggio incredibile. Riposi in pace."
@UltimoraPolitics
Riforme, Carlo #Calenda: "All’incontro di martedì con il governo proporremo le priorità del nostro programma elettorale, che riprendono molti punti del referendum del 2016: più poteri al premier, monocameralismo e riordino del federalismo" @UltimoraPolitics
Riforme, Carlo #Calenda: "All’incontro di martedì con il governo proporremo le priorità del nostro programma elettorale, che riprendono molti punti del referendum del 2016: più poteri al premier, monocameralismo e riordino del federalismo"
@UltimoraPolitics
Carlo #Calenda: “Nella vita professionale non ho mai ricevuto avvisi di garanzia/rinvii a giudizio/condanne pur avendo ruoli di responsabilità. Non ho accettato soldi a titolo personale da nessuno, tanto meno da dittatori e autocrati stranieri.
Non ho preso finanziamenti per il partito da speculatori stranieri e intrallazzatori. Non ho mai incontrato un magistrato se non per ragioni di servizio. Mai sono entrato nelle lottizzazioni del CSM.”
@UltimoraPolitics