https://opennet.ru/openforum/vsluhforumID3/132156.html Исследователи GitGuardian опубликовали результаты анализа конфиденциальных данных, забытых разработчиками в коде, размещённом в репозитории Python-пакетов PyPI (Python Package Index). После изучения более 9.5 млн файлов и 5 млн релизов пакетов, связанных с 450 тысячами проектов, было выявлено 56866 фактов утечки конфиденциальных данных. Если учитывать только уникальные данные, без дублирования в разных релизах, число выявленных утечек составило 3938, а число проектов, в которых присутствует хотя бы одна утечка - 2922...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60169<br> https://opennet.ru/openforum/vsluhforumID3/132156.html#107 Tue, 28 Nov 2023 18:20:40 GMT &gt; Желание зависит, в том числе, и от квалификации. Разработчику с опытом кодирования <br>&gt; на C/C++ потребуется на порядок меньше времени и усилий на аудит <br>&gt; кода пакета, написанного на C/C++, чем разработчику не знакомого с C/C++. <br>&gt; А так как подавляющее большинство использующих Python не знают кроме него <br>&gt; ни одного другого языка, отсюда и последствия. При разработке на C/C++ <br>&gt; количество библиотек и классов используется не меньше, но количество намеренной дичи <br>&gt; в них - на порядок меньше.<br><br>Ну вот, например, какой-нибудь numpy или pandas использует овердовига людей. Вряд ли они в код заглядывают. Но ведь делают же что надо. Вообще я считаю, что у пакетов должен быть рейтинг и если в нем находят уязвимость, то рейтинг должен снижаться. <br> https://opennet.ru/openforum/vsluhforumID3/132156.html#106 Tue, 28 Nov 2023 11:50:09 GMT Понятно, что моя выборка нерепрезентативна, но, судя по количеству задач в Jira на перенос алгоритмов, уже реализованных на Python, на C/C++ с оформлением пакета для Python, создается именно такое впечатление. Причины переноса в 99% - оптимизация с глубоким параллелизмом.<br>Так что в холдинге, где я работаю, подавляющее большинство программистов на Python не способны перенести свой код в C/C++.<br> https://opennet.ru/openforum/vsluhforumID3/132156.html#105 Mon, 27 Nov 2023 18:33:18 GMT Троян можно написать самому<br> https://opennet.ru/openforum/vsluhforumID3/132156.html#104 Mon, 27 Nov 2023 09:35:14 GMT По идее меньше:<br>Во-первых, самого по себе кода там меньше понаписано.<br>Во-вторых, код там больше в виде относительно небольших модулей (а не жирных пакетищ), которые в теории и просмотреть можно, перед заюзыванием.<br>В-третьих, количество "писак по курсам с ютупа" на расте заметно меньше, чем питонистов.<br>и т.д.<br>Но всё это не важно, т.к. ты тебе совершенно на саомм деле не интересно, а написал ты просто чтобы набросить на вентилятор.<br> https://opennet.ru/openforum/vsluhforumID3/132156.html#103 Mon, 27 Nov 2023 09:29:06 GMT Полагаю, что большинство у него - это те, кто "по курсам в интернетиках". И таки он может быть вполне себе даже прав (но нужны пруфы, конечно, которых наверняка не будет).<br> https://opennet.ru/openforum/vsluhforumID3/132156.html#102 Mon, 27 Nov 2023 09:20:10 GMT &gt; В любом случае демократии в репозиториях кажется начинает наступать переломный момент когда нечистые на руку люди начинают публиковать зловердный код.<br><br>Зачем вы ляпаете слова, смысл которых не знаете? Когда любой можно опубликовать что угодно - это не имеет никакого отношения к демократии. Никакого коллективного принятия решений и равного воздействия участников на результат тут нет. Собственно, тут скорее квази-анархия (квази - потому что власть там на самом деле есть, просто она преимущественно самоустранилась от принятия таких решений, про которые идёт речь).<br> https://opennet.ru/openforum/vsluhforumID3/132156.html#101 Mon, 27 Nov 2023 08:40:20 GMT Мелочёвку проще написать самому, что бы точно работало как ожидаешь.<br>А что крупнее, то поключить проверенные сторонние библиотеки, но если они есть.<br><br>А профессионалы гарантируют, что ПО взятое у них, будет работать правильно.<br>А за работу, даже того же самого, но собранного самостоятельно из тех же исходников, уже никто не отвечает.<br><br>Как пример, если взять например на Гитхабе, какое то бегемотистое ПО на Си, и подобных языках, то оно и соберется и заработает. Вероятность что что то не получится, пренебрежимо мала.<br><br>А если попытаться запустить что то, тянущее зависимости из репозитарив в стиле "выгребная яма", то не факт что вообще ПО запустится. А если что постарее попытаться запустить, то мат на ровном месте без причины будет обеспечен. Так, в примере, до зловредов даже не дошли.<br><br>ps: Справедливости ради, в любых исходниках, в том числе на Си и подобных языках, скачанном из всяких Гитхабов, и подобных, злонамеренный функционал встречается, и не представляет что то редкое, из рада вон выходящее.<br>То https://opennet.ru/openforum/vsluhforumID3/132156.html#100 Mon, 27 Nov 2023 06:59:23 GMT Они бы ещё на DepositFiles вирусы искали...<br> https://opennet.ru/openforum/vsluhforumID3/132156.html#99 Mon, 27 Nov 2023 06:08:18 GMT Интересно, сколько такого же спрятано в растовском карго?<br>