https://www.opennet.me/openforum/vsluhforumID3/135520.html Злоумышленники смогли выполнить код с правами обработчика GitHub Actions в репозитории Python-библиотеки Ultralytics, применяемой для решения задач компьютерного зрения, таких как определение объектов на изображениях и сегментирование изображений. После получения доступа к репозиторию атакующие опубликовали в каталоге PyPI несколько новых релизов Ultralytics, включающих вредоносные изменения для майнинга криптовалют. За последний месяц библиотека Ultralytics была загружена из каталога PyPI более 6.4 млн раз...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62365<br> https://www.opennet.me/openforum/vsluhforumID3/135520.html#54 Fri, 13 Dec 2024 15:55:59 GMT &gt; Если проект небольшой (как в моем случае - личный), то публичный репозиторий можно использовать<br>&gt; только для распространения СПО.<br><br>угу - тебе открывают issue - ты его закрываешь "идите на мой ценный... а, впрочем, нет у тебя - вон в мэйл идите письма писать на деревню спамотcocину", пулреквест ? нахрен тот пулреквест, не так подан! Особенно для твоего хеловрота с полутора заинтересованными лицами это будет здорово. От тех полутора и половинки не останется (потому что никто никуда, разумеется, не пойдет, не так подано - ну и не пользуйся)<br><br>А если ты ничего такого не делаешь, за сообщениями следишь, пул-реквесты на шитхапе или шитляпе рассматриваешь - ну так поздравляю, теперь ты держишь ДВА сервиса, и тебе их еще и синхронизировать надо.<br><br>А собственную инфраструктуру содержать - довольно дорого, внезапно, обходится. Причем ладно б только в материальном плане - но можно и репутацией поплатиться. Вон афтыри php наглядный тебе пример показали. И раз у тебя уже есть одна, которую поддеживает дядя - рано ил https://www.opennet.me/openforum/vsluhforumID3/135520.html#53 Tue, 10 Dec 2024 12:03:21 GMT &gt;Тут как-то мелькнула новость о взломе чего-то, когда в аргументы шелл-команды злые хакеры пропихнули что-то своё в виде эскейпнутых 16-ричных кодов. Проверка такую строку пропустила, а шелл преобразовала кода обратно в символы и выполнила команду хакера.<br><br>Неправильно реализовали экранирование<br>&gt;Но подтянуть либу и дёрнуть функцию из её - это слишком сложно<br><br>Это не всегда возможно, так как библиотеки может просто не быть для нужно языка, а склеивать несколько языков будет сложно.<br> https://www.opennet.me/openforum/vsluhforumID3/135520.html#52 Mon, 09 Dec 2024 08:49:38 GMT &gt; Вообще сложно представить что-то, что будет хуже баша.<br><br>В Bash скриптах участие самого Bash минимально. В основном, shell скрипты - это запуск UNIX утилит и других программ и обработка их вывода. Использовать тут что-то другое, кроме Shell синтаксиса (будь то Bash, ZSH, KSH, Fish и тп оболочки, не важно) выглядит как Overkill. Даже Pythion overkill, для этих задач.<br> https://www.opennet.me/openforum/vsluhforumID3/135520.html#51 Mon, 09 Dec 2024 03:49:17 GMT Это ошибочное мнение, что для того, чтобы делать открытый софт, нужно обязательно использовать какой-то публичный сервер Git. Можно поднять его на собственной инфраструктуре. Так и поступают некоторые проекты.<br>Если проект небольшой (как в моем случае - личный), то публичный репозиторий можно использовать только для распространения СПО.<br> https://www.opennet.me/openforum/vsluhforumID3/135520.html#49 Sun, 08 Dec 2024 22:04:46 GMT Очень интересно, в какой компании вы работаете...<br> https://www.opennet.me/openforum/vsluhforumID3/135520.html#48 Sun, 08 Dec 2024 17:52:45 GMT Ну не все компании Microsoft в России созданы. По законодательству некоторых стран лицензионное соглашение для коммерческого использования подразумевает оплату. Если вы политик, то конечно могли бы принять закон о том что в России отменяются американские законы и на их серверах можно спокойно размещать Docker, возможно даже все сервера мира Microsoft перетащит в Россию, куда-нибудь под Нью-Васюки для того чтобы пользоваться Docker бесплатно.<br> https://www.opennet.me/openforum/vsluhforumID3/135520.html#46 Sun, 08 Dec 2024 14:57:34 GMT твой хеловрот к сожалению уже написан. А чтобы делать софт делаемый большими командами - нужно либо еще одну команду - профессиональных админов, плюс заставлять бедных неженок у которых так не хватает времени и сил на копипасту со стековерфлова учиться непривычным то языкам, то инструментам, а то ж они и патч оформить не смогут.<br><br>Плюс (то есть минус) что за теми инструментами не стоит microsoft с миллиардными зарплатами, и они в общем-то быстро устаревают не успевая угоняться за модными тенденциями.<br><br> https://www.opennet.me/openforum/vsluhforumID3/135520.html#45 Sun, 08 Dec 2024 14:27:25 GMT Крипта сама себя не намайнит.<br> https://www.opennet.me/openforum/vsluhforumID3/135520.html#42 Sun, 08 Dec 2024 08:13:07 GMT Но-но-но! Вот не надо тут насчёт дидов и баша, тут не тема не про sysvinit!<br>Молодняк держится вполне вровень с дидами насчёт вызова шелл-команд из других языков. Когда надо что-то сделать с какими-то данными, проще всего вколотить знакомую строку в аргумент для run, чем импортировать .so'шную либу и вызвать из неё нужную функцию. Проще загнать аргументы одной строкой "--key1 value1 --key2 value2", чем составлять массив туплов [("key1","value1"),("key2","value2")], проще принять и обработать exit code от run, чем ловить крах вызова функции. А потом приходит расплата за лень.<br>