Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
Innei 向 mx-space/core 提交了一个更改
refactor: remove TextMacroService and textOptions config
TextMacroService (text macro replacement for `[[ $var ]]` / `[[ #fn() ]]` syntax)
is no longer needed. All replaceTextMacro calls replaced with direct text usage.
- Delete helper.macro.service.ts and its test/mock files
- Remove TextMacroService injection from post, page, note, markdown modules
- Remove textOptions schema, default config, and DSL section
- Update v10 migration docs with breaking change notice
#Italia#Camera
#FN|ESN ha negato per la seconda volta consecutiva la fiducia al governo Meloni. Il partito di Vannacci si colloca ufficialmente all’opposizione.
@Osservatorioitaliano
#Italia
Roberto #Vannacci (#FN|ESN): "L'immigrazione distrugge anche il calcio. La Serie A oggi è il campionato più ricco di stranieri in Europa: il 67,5% dei giocatori non è italiano, 384 su 569, una percentuale che supera perfino la Premier League. Questo modello orientato al business favorisce i club ma ‘svuota’ il vivaio nazionale: la Nazionale, infatti, può pescare solo da un bacino che rappresenta il 30% del campionato. Il risultato è una crisi strutturale, confermata dalla terza mancata qualificazione consecutiva ai Mondiali e da anni di mancati investimenti sui giovani. I club oggi vedono la maglia azzurra come un ‘fastidio’ che non produce ricavi e preferiscono acquistare giocatori stranieri già pronti, invece di far crescere talenti italiani."
@OsservatorioItaliano
#Italia#Marche
Il sindaco di Civitanova Marche Fabrizio Ciarapica lascia #FI|EPP e aderisce a #FN|ESN: è il primo sindaco “futurista” di un comune italiano superiore.
@Osservatorioitaliano
#Italia
Joe #Formaggio ufficializza il passaggio a #FN|ESN, abbandonando #FdI|ECR, e segnando il terzo passaggio importante in pochi giorni nel partito di Vannacci in Veneto. Poche ore dopo l’annuncio, un incendio ha danneggiato il ristorante di Formaggio.
@Osservatorioitaliano
#Italia
L’ex sottosegretario al lavoro del governo Berlusconi Luca #Belotti, con un passato tra i finiani, lascia #FdI|ECR e aderisce a #FN|ESN.
@OsservatorioItaliano
#Italia#Camera
❗Edoardo #Ziello (#FN|ESN) ha appena votato "NO" alla questione di fiducia al governo Meloni, passando ufficialmente all'opposizione.
@OsservatorioItaliano
#Italia#Camera
❗Rossano #Sasso (#FN|ESN) ha appena votato "NO" alla questione di fiducia al governo Meloni, passando ufficialmente all'opposizione.
@OsservatorioItaliano
#Italia
L'ex sottosegretaria alla Salute dal 2009 al 2011 durante il governo Berlusconi, Francesca #Martini, lascia la #Lega|PfE e aderisce a #FN|ESN.
@OsservatorioItaliano
#Italia#Camera
❗Emanuele #Pozzolo (#FN|ESN) ha appena votato "NO" alla questione di fiducia al governo Meloni, passando ufficialmente all'opposizione.
@OsservatorioItaliano
#Italia#Veneto
Vicenza, in città compaiono locandine per un evento di #FN|ESN organizzato dall’ex consigliere Joe #Formaggio, che sarebbe ad un passo dal lasciare #FdI|ECR per passare con Vannacci
@OsservatorioEsteri