Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
🔋Uzbekistan bets big on critical minerals
Uzbekistan is deepening its partnership with the United States in the critical minerals sector — a move that could unlock investment in lithium, rare earths, and other strategic resources.
The new agreement may help integrate Uzbekistan into global supply chains for EVs, semiconductors, and clean energy. But it also places Tashkent at the center of geopolitical competition, as it balances ties with the US, China, and Russia.
🇺🇿 With major mineral reserves and growing investor interest, the key question now is whether diplomacy will turn into real projects.
Do you think Uzbekistan can become a global critical minerals hub?👇#Resources
Когда-то Юля Каптур, архитектор и основательница этого канала, собирала несколько пошаговых уроков для работы с коллажами в Photoshop.
Шлём привет новым читателям — и снова делимся ими:
• Короткий урок по созданию коллажа.
• Материалы для коллажей и визуализаций: люди, деревья, текстуры, фоны.
• Пошаговый пример создания иллюстрации к проекту благоустройства.
#resources
#resources
PaperSizes — наглядная шпаргалка по всем международным стандартам, размерам и форматам бумаги.
На сайте можно посмотреть точные размеры в любых единицах, сравнить разные форматы между собой и найти необычные примеры — например, форматы бумаги в Японии или размеры газет в Англии.
#resources
Humaaans — бесплатный онлайн-конструктор, в котором можно создавать минималистичных персонажей для иллюстраций.
Можно редактировать цвета, одежду или позу, и скачать полученное изображение в формате png.
#resources
Бесплатные наборы персонажей и растений для коллажей в минималистичной векторной графике. На сайте также можно найти dwg — от героев фильмов до необычных объектов мебели.
#resources
Architextures — бесплатное приложение для создания бесшовных текстур. Работает как конструктор — можно выбрать и настроить каждый из параметров: материал, рисунок разбивки, толщину линий и тд.
https://www.archdaily.com/947143/a-free-tool-to-create-textures-for-architectural-images