Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
Shabaka — African Culture (Impulse! Records, 2022)
#spiritual#tribal#jazz#ambient#shakuhachi#kora#mbira#United_Kingdom
Первый сольный альбом одного из ключевых джазовых саксофонистов современности, Шабаки Хатчингса. Здесь Шабака демонстрирует искусство владения различными духовыми инструментах, создавая из их звуков абстрактные звуковые полотна, лишенные какой-либо структуры. На записи почти нет ритм-секции, но зато можно услышать японскую бамбуковую флейту сякухати (казалось бы, African Culture); кору, западно-африканскую арфу, и разновидность калимбы, мбиру. В отличии от других работ Шабаки, заряженных политическим протестом и неутомимой, где-то даже агрессивной, импровизацией, сольная работа музыканта получилась очень медитативной, похожей на tribal ambient.
Spotify | AppleMusic | VK
Bulawayo Kwela, Elliot Phiri & David Tapfuma — Bulawayo Harare (Nyami Nyami, 2020)
#dancehall#dub#kwela#mbira#chimurenga#kwaito#Zimbabwe
Bulawayo Harare EP состоит из четырех треков, два из которых посвящены городу Булавайо, второму по величине в Зимбабве, а другие два — столице Зимбабве, Хараре.
Первую сторону пластинки открывает трек Mysterious Africa, переполненный отсылками к дабу и дэнсхоллу. Он исполнен зимбабвийской группой Bulawayo Kwela и спродюсирован Danalogue, участником британской группы The Comet Is Coming. Запись сопровождают слова зимбабвийского поэта Альберта Найати. Второй трек исполняет верный стилю квела Эллиот Фири, видимо один из участников Bulawayo Kwela.
Сторона Хараре представлена песней Дэвида Тапфума, записанной под аккомпанемент мбиры. Песня скорее всего имеет отношение к зимбабвийскому стилю популярной музыки чимуренга. Завершает пластинку ремикс песни Тапфума, сделанный Esa из Кейптауна, в котором слышно влияние южноафриканского хауса квайто.
Spotify | AppleMusic | Bandcamp | VK