Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
🚢Lloyd’s Agency Network переходит под управление Lloyd’s List Intelligence.
Страховой рынок Lloyd’s передаёт управление Lloyd’s Agency Network провайдеру морских данных Lloyd’s List Intelligence (LLI)с апреля текущего года.
Решение объединяет одну из старейших портовых информационных сетей судоходства с цифровой аналитической платформой.
LLI - возьмёт на себя администрирование глобальной сети, включая аккредитацию агентов, контроль стандартов качества и агентские соглашения.
Сеть Lloyd’s Agents ведёт историю с 1811 года и традиционно обеспечивала локальную экспертизу и отчётность по инцидентам для рынка морского страхования.
Интеграция позволит усилить верификацию событий и повысить качество данных в регионах повышенного риска, где спутниковый трекинг требует подтверждения из локальных источников. Для судоходной отрасли шаг означает дальнейшую цифровизацию страховой экосистемы и сближение трекинга судов, аналитики и портовой информации.
Бренд Lloyd’s Agents сохранится, оставаясь связанным со страховым рынком Lloyd’s, но станет частью единой интеллектуальной платформы LLI.
📌Lloyd’s — британский страховой рынок, основанный в 1688 году в Лондоне, специализируется на специализированном и морском страховании. Работает как рынок синдикатов, объединяющий частных и институциональных андеррайтеров.
#MarineInsurance#Lloyds#MaritimeData#ShippingRisk#LLI