Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
Papa #LeoneXIV ha ricevuto questa mattina in udienza Andrej Plenković, Presidente del Governo della Repubblica di #Croazia, il quale ieri, 4 dicembre, aveva incontrato il Cardinale Pietro Parolin, Segretario di Stato di Sua Santità, accompagnato da mons. Mihăiţă Blaj, Sotto-Segretario per i Rapporti con gli Stati.
"Nel corso dei cordiali colloqui in Segreteria di Stato - fa sapere la Sala Stampa vaticana in una nota -, si è espresso compiacimento per i buoni rapporti tra lo Stato e la Chiesa locale e l’intenzione di sviluppare ulteriormente la collaborazione nei settori di mutuo interesse. Nel prosieguo della conversazione, vi è stato uno scambio di vedute su alcuni temi, con particolare attenzione alla cooperazione regionale nei Balcani occidentali e al conflitto in #Ucraina".
#Croazia Zoran #Milanović, presidente croato: "Il governo non ratifichi l'adesione alla NATO di nessuno, finché la legge in Bosnia Erzegovina non verrà cambiata." @UltimoraPolitics
#Croazia
Zoran #Milanović, presidente croato: "Il governo non ratifichi l'adesione alla NATO di nessuno, finché la legge in Bosnia Erzegovina non verrà cambiata."
@UltimoraPolitics
#Elezioni#Croazia#Presidenziali
Stando ai primi exit poll, Zoran #Milanović, supportato dall'#SDP|S&D, è stato rieletto Presidente della Croazia con quasi il 78% dei voti. Fermo al 22% il candidato supportato da #HDZ|EPP Dragan #Primorac.
@OsservatorioEsteri
#Croazia
Il Primo Ministro Andrej #Plenković (#HDZ|EPP) ha annunciato un rimpasto di governo che interesserà 3 ministeri. Di seguito i cambiamenti:
-Davor #Filipović (HDZ) prenderà il Ministero dell'Economia, sostituendo Tomislav #Ćorić (HDZ);
-Marin #Piletić (HDZ) prenderà il Ministero del Lavoro, sostituendo Josip #Aladrović (HDZ);
-Anja #Šimpraga (#SDSS|S&D) sarà la nuova Vice-Primo Ministro, sostituendo Boris #Milošević (SDSS).
@UltimoraPolitics