Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
Слева: Без названия (Этот верзила вчера умер от тоски), 2019
Материалы не помню, похоже, что гуашь, А4
P.S. Я больше не хочу ставить хэштэги #inStock и писать, что я что-то продаю. Я не чувствую, что это товар или продукт. Это что-то другое.
P.P.S. Я хочу смотреть на одного из своих любимых художников Дэвида Парка (David Park) и пытаться понять что такое живопись и как создать великое произведение.
Справа: David Park at work, Photo by Imogen Cunningham
Без названия, 2022
15 x 15 см
материалы точно не помню, кажется, акрил и акварель (на грунтованном холсте)
1. — лицевая сторона
2. — обратная сторона
6000 RUB + доставка
#inStock
Без названия, 2024
12 x 19,5 см
материалы точно не помню, кажется, акварель и тушь (на упаковке от гуаши)
1. — лицевая сторона
2. — обратная сторона
5000 RUB + доставка
#inStock
Chrome Hearts винтажный кошелек со шнурком
Состояние для своих лет неплохое, была сделана профилактика для кожи и фурнитуры
Размер 12х10см. Отсеки под мелочь, купюры и карты
Цена 165.490₽
@mlbmasterpiece
#chromehearts#instock
Chrome Hearts 'Fleur de Lys' Leather Cap
Выполнена из кожи ягненка, классическая трак форма, идеально подходящая под любую погоду. Спереди и сверху фурнитура из серебра .925 пробы.
Винтажная, бирки потерты.
Цена - 94.490р
#instock#chromehearts
@siberiaaccount
Rick Owens 2019 Babel ramones
Один выход для фото, состояние для этого материала отличное
В жизни более светлые, чем на фото
Полный комплект с тоутом и коробкой
Размер 42it
Цена 65.490₽
@mlbmasterpiece
#rickowens#instock