Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
베센트, Anthropic의 새로운 AI 관련 논의를 위해 은행 CEO들을 긴급 소집 - BBG
- 美 재무장관 베센트와 연방준비제도 의장 파월은 Anthropic의 최신 인공지능 모델이 더 높은 수준의 사이버 위험 시대를 초래할 수 있다는 우려와 관련하여 월가 주요 은행 경영진들을 긴급 회의에 소집.
- 해당 회의는 Anthropic의 Mythos가 제기하는 잠재적 미래 위험에 대해 은행들이 인지하고, 자사 시스템을 방어하기 위한 대비책을 마련하고 있는지 확인하기 위한 목적이었다고, 관련 사안에 정통한 인사들이 밝혔음.
- 규제 당국은 새로운 유형의 사이버 공격 가능성을 금융 산업이 직면한 가장 큰 위험 중 하나로 보고 있으며, Anthropic의 Mythos는 주요 운영체제(OS)와 웹 브라우저에서 취약점을 식별하고 이를 악용할 수 있는 보다 강력한 시스템으로 평가되고 있음.
※ 위에 올린 Mythos의 영향력에 대한 경각심이 확대
#INDEX