Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
40 bebés asesinados, una parte de ellos degollados en la matanza de civiles desarmados perpetrada por #Hamas en el kibutz Kfar Aza
https://cbsaustin.com/news/nation-world/at-least-40-babies-killed-beheaded-in-israeli-kibbutz-outside-gaza-reports-say-israel-palestine-hamas-terrorists-terrorism-invasion-middle-east-conflict-attack
https://www.dailymail.co.uk/news/article-12615031/Hamas-terrorists-beheaded-babies-kibbutz-slaughter-IDF-soldiers-reveal-horrific-scenes-carnage-discovered-site-scores-people-massacred.html
#Italia
La Corte di Cassazione ha annullato l'arresto di Mohammed #Hannoun, l'attivista palestinese che era stato arrestato il dicembre scorso con altre sei persone con l'accusa di aver finanziato #Hamas|Islamisti radicali.
Nota: La Corte ha rinviato alla sezione del tribunale del Riesame di Genova la decisione sull’ordinanza di custodia cautelare sia per Hannoun, sia per le altre tre persone che erano rimaste in carcere.
@Osservatorioitaliano
#Trump presse le #Hamas à libérer les otages
Trump durcit le ton. Il menace l’Égypte et la Jordanie de suspendre l’aide américaine si ces pays refusent d’accueillir les Palestiniens. Son plan a suscité un tollé général dans la région et au sein de l’ONU, mais le président américain est déterminé à le mettre en place. Les derniers développements de la situation au Moyen-Orient dans le reportage d’Igor Kourachenko.
RT en français • Osez questionner !
#Israele, tutti i gruppi parlamentari, ad eccezione di Alleanza Verdi Sinistra che non si è ancora pronunciata, hanno condannato duramente l'attacco di #Hamas.
@UltimoraPolitics
#Gaza
Ihab Hassan riporta che un alto funzionario del Board of Peace ha affermato che #Hamas|Islamisti radicali ha accettato di disarmarsi e che il processo avrà inizio il mese prossimo. Tuttavia, le ultime armi che Hamas consegnerà saranno quelle di piccolo calibro, poiché Hamas teme gli altri gruppi presenti a Gaza.
@OsservatorioEsteri
#Hamas es el primer para-estado que hace un uso intensivo de drones bombarderos y técnicas aprendidas en la guerra de #Ucrania.
https://www.haaretz.com/israel-news/security-aviation/2023-10-09/ty-article/.premium/hamas-drone-assault-surprised-israel-using-russia-ukraine-war-tactics/0000018b-155d-d2fc-a59f-d55d05eb0000
https://archive.ph/RYkSu