Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
День независимости (Роланд Эммерих, 1996)
Обычно когда в кадре что-то плохое происходит с архитектурой, я внутренне сжимаюсь и воплю: «да что ж вы делаете, сволочи!». Но, надо отдать должное «Дню независимости», это красиво....
В этом фильме — беспрецедентное на тот момент разрушение. И по масштабам (сгорает весь Нью-Йорк) и по значимым памятникам (взрывают Эмпайр-стейт-билдинг, взрывают Капитолий, взрывают Белый дом, Статуя свободы лежит в руинах, рис 1-6). Для того, чтобы все это заснять, было сделано множество моделей разного масштаба, в которые закладывались реальные заряды, а съемка проходила с десятикратным замедлением. Подробнее о процессе можно прочитать здесь.
Эмпайр взрывается очень важно, поэтому в подсчете двух башен обновление:
Эмпайр — Крайслер
1 – 1
#мордочка_искусство_и_кино#мордочка_landmarks#towers
Люди в черном 3 (Барри Зонненфельд, 2012)
Пока я готовлю материал об архитектуре Хогвартса, другие вдумчивые размышления приходится откладывать, но посторонние идеи все равно лезут в голову.
Как известно, основной знак Нью-Йорка — его небоскребы, а из них всех в кадр чаще всего попадают Эмпайр-стейт-билдинг и Крайслер-билдинг. Вот мне и стало интересно; кто победит?
С этого дня начинам считать (#towers), но не любые появления на экране, а только те, где здание играет определенную роль в сюжете.
Итак, поехали: в третьей части «Людей в черном» агент Джей совершает прыжок во времени с крыши Крайслер-билдинг.
Эмпайр — Крайслер
0 – 1
#мордочка_искусство_и_кино#мордочка_landmarks#towers
昨天听Aaron Copland的Fanfare for Common Man,发现Joan Towers还写了一首Fanfare for the Uncommon Woman😆😆😆,分享一个back to back的performance~https://www.youtube.com/watch?v=2CcO_QookAU#American#Copland#Towers
Ombelle complex.
New York-based architecture studio ODA has revealed the design of Ombelle, a duo of residential towers.
Architect: ODA
Location: Fort Lauderdale, Florida.
#arch_shovel#architecture#newyork#news#ArchitectureNews#towers