Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
Russian Defence Ministry (@mod_russia_en):
❗️Statement by Russian Defence Ministry
▪️ On March 14, at about 11.30 a.m. Moscow time, Tochka-U tactical missile was fired at a residential block of Donetsk city from the territory controlled by the Kiev nationalist regime.
▪️ The shelling of the city was carried out from the north-western direction, from the area of Krasnoarmeysk settlement, which is controlled by Ukrainian nationalist units.
▪️ As a result of the explosion of a cluster warhead in the center of Donetsk, 20 civilians were killed. Another 28 people, including children, were seriously injured and taken to medical institutions.
▪️ The use of such weapons on a town with no armed forces firing positions, i.e. deliberately targeting civilians, is a war crime.
#Ukraine#Donetsk#WarCrime
How a Secluded 1984 Conference Forged Israel’s Unprecedented Influence Over US Media
October 31st, 2024
By Kit Klarenberg
.
In the first week of January 2024, Israeli forces fired 355 bullets at a car containing a five-year-old, then shot at rescue workers who rushed to save her life.
An indisputible act of murder, a definite #WarCrime – yet, per many Western media headlines, she was simply a “girl killed in Gaza.”
The circumstances and perpetrators of her death, if mentioned at all, were invariably buried at the bottom of reports, well hidden from the 80% of the news-consuming public who only read headlines.
In contrast, on October 15 2024, Sky News was very keen that its viewers know the names and faces of four “teenage” #IDF soldiers “killed” in a “#Hezbollah#drone attack,” humanizing and infantilizing individuals who, by mere token of their service in Israel’s military, are by definition, guilty of genocide. ..... (read more....)
🇺🇸#USA
#US#Senator#LindseyGraham voices his fear that, due to the International Criminal Court's (#ICC) #WarCrime Charges against Israeli PM #Netanyahu, there might after all even be some adverse #legal consequences for both his own, and his country's, illegal War actions.
"If they'll do this to Israel, we're next."