Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
На прошлой неделе члены Compliance Hub Community посетили мероприятие AIFC Community event: 2024 Business Wrap-Up, организованное Astana Financial Services Authority (AFSA), и
которое является эксклюзивным для членов AIFC (Astana International Financial Centre).
На мероприятии обсудили ключевые изменения в регуляторной базе по управлению активами, а также запуск первого Umbrella Fund и листинг первого Exempt Fund на бирже AIX.
#compliance
В рамках научно-практической конференции, посвященной Дню конституции Республики Казахстан, член @compliance_hub_community Рустам Ахметов выступил с докладом, посвященным правовой грамотности в эпоху социальных сетей и искусственного интеллекта.
#compliance
Compliance Hub примет участие в IT Law Forum, организованном Suleyman Demirel University.
Представители хаба поделятся полезными инсайтами в области комплаенс.
Мероприятие пройдет 10 мая в г. Алматы. Онлайн формат также предусмотрен.
Пожалуйста, смотрите последнее фото для регистрации (QR) на мероприятие.
#compliance
Делимся исследованием "Портрет современного комплаенс-специалиста", которое периодически публикуется Kept.
Основная цель исследования – проанализировать особенности организации, роль и задачи комплаенс-функции, вопросы автоматизации и пр.
https://kept.ru/news/portret-sovremennogo-komplaens-spetsialista/?utm_source=google.com&utm_medium=organic&utm_campaign=google.com&utm_referrer=google.com
#compliance
📖Global AI Governance: One Landscape, Many Roads
A new report from Bird & Bird provides a comparative snapshot of how different regions are approaching AI governance—and what this means for global businesses. Covering the EU, UK, Asia, the Middle East, and Australia, the analysis maps current frameworks, industry-specific challenges, and emerging trends.
In parallel, the report outlines key areas companies must address to stay ahead of regulation: from defining internal responsibility and building robust risk management systems, to updating compliance processes and renegotiating AI-related contracts. As regulatory divergence deepens, this kind of cross-border understanding is no longer optional—it's strategic.
#AIGovernance#Compliance#AIRegulation
Corporate Leaders Skeptical About AI Policy Effectiveness, BRG Report Finds
According to Berkeley Research Group's Global AI Regulation Report, only 36% of corporate leaders believe current and future AI policies will provide the necessary guardrails. This report, drawing from over 200 corporate leaders and executive-level lawyers worldwide, evaluates the current AI regulatory landscape and identifies key challenges and priorities for effective AI governance.
The report highlights a significant gap in confidence regarding compliance readiness, with many organizations struggling to implement internal safeguards for responsible AI use. Notably, the retail and consumer goods sectors are particularly lagging in this aspect.
Future AI policy priorities include data integrity, security, and accuracy, though opinions vary by region and industry. Executives and respondents from the technology and financial services sectors prioritize adaptability and transparency, while lawyers and those in retail favor enforceability and strictness. The report underscores the growing divergence between the US and EU on AI regulation, complicating the creation of broad, comprehensive guidelines.
#AI#AIRegulation#Compliance#AIEthics
20 марта текущего года наши коллеги приняли участие в форуме AML and KYC in Digital World, где поделились с коллегами из Узбекистана, Кыргызстана, Украины, Азербайджана и других стран полезной информацией:
- о глобальных вызовах и мерах в области ПОД/ФТ и должной осмотрительности;
- о программах реализации мер ПОД/ФТ для сферы цифровых активов.
#amlcft#compliance