Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
🚢Nordic American Tankers продаёт Suezmax за $40 млн.
Танкерный оператор Nordic American Tankers (NAT) реализовал один из самых возрастных судов флота — Suezmax постройки 2005 года — по цене около $40 млн.
Название не раскрывается, однако под параметры подпадают "Nordic Freedom" и "Nordic Skier".
Сделка отражает текущую конъюнктуру рынка, где даже возрастной тоннаж сохраняет высокую ликвидность на фоне ограниченного предложения и геополитической нестабильности. Ранее компания также согласовала продажу ещё одного Suezmax 2003 года постройки за $25 млн.
С операционной точки зрения, Nordic American Tankers проводит постепенное омоложение флота, фиксируя высокие цены на вторичном рынке и высвобождая капитал для дальнейших инвестиций.
Компания заявляет о планах расширения флота на фоне благоприятных рыночных перспектив.
📌Nordic American Tankers Ltd. — основана в 1995 году, публичная танкерная компания, зарегистрированная на NYSE, специализируется на флоте Suezmax; контролируется основателем и ключевым акционером Хербьерн Ханссон (Herbjørn Hansson).
#Tankers#Suezmax#Shipping#NAT#SecondHand
#go#blockchain#cloudvpn#golang#golang_library#holepunch#ipfs#ipfs_blockchain#kubernetes#libp2p#mesh#mesh_networks#nat#networking#p2p#p2pvpn#tunnel#vpn
EdgeVPN lets you create secure, decentralized private networks using peer-to-peer (p2p) connections without relying on central servers. It can build a VPN that automatically assigns IPs, includes a small DNS server, and protects your network even if tokens leak. You can also use it as a reverse proxy to share TCP services or send files securely over p2p without a VPN connection. It works well for edge devices and development, especially behind NATs, and can be integrated into your own Go programs. This helps you connect devices easily and securely across different networks without complex setup or infrastructure.
https://github.com/mudler/edgevpn