Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
$WOOFS #SHIBARMY!
👉 $WOOFS is building a utility Platform “Woof Tools” Web3 Crypto freelance marketplace and ecosystem, it’ll facilitate rewards, including the Woofserral Program and the Dogshouse Staking Program.
Max Supply: 7,900,000,000
Platform taxes in $WOOFS will have 0% fees
• $WOOFS is an ERC-20 token
• $WOOFS liquidity locked
• $WOOFS will transition to Shibarium network (L2) with token swap
WOOFS LP IS LIVE 👉https://legacy.gempad.app/presale/0xCde126D98f6bEb7e948B0e1E5755d879a83EeC3c?chainId=1
WOOFS PARTNERS 👉 $XFUND, $WOOFS, Shibarium, Unification, UNoDes, OoO, ShibaSwap, KyberSwap, Goplusecurity
TG : https://t.me/woof_tools
Web : https://wooftools.io/
🐾 Hey, #SHIBARMY, listen up! 📢
🚀🪐 Level up your crypto game with WOOFTools: the ultimate trading solution❣️
📈 Real-time crypto prices? ✅
💼 Easy DEFI portfolio management? 💥
🔔 Customizable price alerts? ✅
💰 Exclusive rewards with $WOOFS? 🌐🇨🇳
Say goodbye to complicated platforms - WOOFTools has your back! 😎
🌐 Seamless integration, all in one place! No more jumping around. Trade like a pro with ease.
Ready to rock the cryptocurrency world? 🔥🔥 Join the WOOFTools community now!
The First DEX for #Shibarium in real time!
🌐 Website:
https://wooftools.io
📢 Telegram: https://t.me/Woof_Tools
🇨🇳Chinese 💬: https://t.me/wooftoolsChinese
$WOOFS will be released on IDO this Q3, early access on Telegram group !
Unleash your trading potential and stay ahead of the curve! 📈💥
#WOOFTools#Crypto#DeFi#TradingRevolution#ShibArmy
#Shibarium
Nfa DYOR
The Crypto Prophet (@ShibaProphet) Tweeted:
The 2nd Parabolic is Starting
Buckle up. It's going higher than before
#Shiba#SHIB#ShibaCoin#SHIBARMY#shibainu#shibainu#ShibaSwap#SHIBDELETEAZERO#shibarium#ShibaProphethttps://t.co/uxWOszyTh5https://twitter.com/ShibaProphet/status/1446214042071277572?s=20