Доступен выпуск инструментария secimport 0.8, позволяющего изолировать определённые Python-модули при их использовании в своих проектах. Код secimport написан на Python, распространяется под лицензией MIT и может работать в Linux, Windows, macOS и Solaris. Для трассировки выполнения и блокирования системных вызовов применяются подсистемы DTrace и eBPF...Подробнее: https://www.opennet.me/opennews/art.shtml?num=59200
В начале разведут помойку а потом героически борятся.
Показуха, которая не может работать из коробки.
Простите, вы проверяли?
Простите как вы собираетесь этим защищаться?
Может это способ защиты от "телеметрии".
А может это способ защититься от майнеров? Вот я точно знаю что в пкете xyz точно находится майнер, но так как мне этот пакет очень нужен я аккуратненько беру secimport и блокирую ему возможность запуска приложений.Но зачем вообще использовать пакет в котором майнер? Сегодня там майнер, завтра он сканирует систему на факт наличия кошельков. А на скан системы то я запрет не поставил, я же не знал что так тоже можно.
Нормально так ... Т.е. нагрузку на проц тебе не жалко ? Может попытаться вырезать майнер из пакета ? Или ты про новые антивирусы, которые майнят за бесплатность ?
Это я к тому что ты никогда не узнаешь где майнер и сабж нинужно.
> Вот я точно знаю что в пкете xyz точно находится майнер, но так как мне этот пакет очень нужен я аккуратненько беру secimport и блокирую ему возможность запуска приложений.Аккуратненько берешь и не используешь пакет, потому что никто из нормальных разработчиков не вкорячивает майнер в свой пакет. Либо это какая-то дичь, которую за день написать на коленке, либо это форк нормального пакета.
Бинго тогда зачем этот secimport? Спойлер: «Он не нужен»
> я точно знаю что в пкете xyz точно находится майнер, но так как мне этот пакет очень нуженЧё?
Ты серьёзно?
Ты скачиваешь пакет, который в принципе не может быть распространяем иначе, нежели в исходном коде, потому что он на интерпретируемом языке, и при этом не только ты сам не можешь этот майнер вырезать, но и среди миллионов питонистов не нашлось никого, кто вырезал бы этот майнер и перезалил очищенный пакет под новым именем?
У вас в питономире всё действительно настолько плохо?
Ну охренеть...
> пакет, который в принципе не может быть распространяем иначе, нежели в исходном коде, потому что он на интерпретируемом языкеВообще-то Python пакет может содержать бинарные файлы, скомпилированные из исходников на C, Rust, Fortran и других компилируемых языках.
Фу, гадость какая.
ну то есть ты только что признал, что понятия не имеешь о том, что такое питон. касается любых тематик, которые ты берешься комментировать
Мне достаточно знать, что питон - яп для создания разного тормозного убожества, распространившийся только благодаря низкому порогу вхождения.
И есть ещё один факт. Сишники признают, что на C легко накосячить - это естественная плата за возможность сделать почти всё, что угодно. Перловики признают, что у перла трудночитаемый код - это естественная плата за гибкость и широкий набор возможностей. Эрлангеры признают, что эрланг, мягко говоря, небыстрый (с появлением jit стало получше, да) - это естественная плата за надёжность. Но есть три языка - питон, пхп и раст, фанбои которых на любую критику отвечают "сам дурак".
вот именно «тебе достаточно», так что с учетом того, кому они отвечают в данном случае, они правы
Вообще-то питон так и говорит "я не для скорости бро, не используй меня для быстрых расчётов, только как прокладку", это прям официально прописано в манифесте.
Он распространен не из-за лёгкого порога вхождения (это враньё, ничерта он не лёгкий) а из-за своего лаконичного синтаксиса и гибкости. Наверное единственный популярный язык на котором читать код в удовольствие (несмотря на большое распространение плохих практик вроде циклов где они не нужны или переизобретение встроенных функций).
Собственно гибкость и приводит к медлительности.
Медлительность кстати весьма относительная и для большинства задач более чем подходит.
Так что ставить питон в один ряд с пхп и ржавчиной не особо умно. Тем более альтернатив практически нет: lua (быстрее, менее удобный и гораздо менее функциональный и гибкий), julia (по сути маргинальный язык, впрочем и питон когда-то был маргинальным) и наркоманский js и всё (пхп и перл по сути мертвы).
Какие ещё бинарные файлы? Вы Delphi видимо не застали, и не вкусили говна от полезных компонентов без исходников.
Самые обычные бинарные файлы, некоторые пакеты даже имеют "уже скомпилированную" версию (собственно с бинарниками, преподносится как "на попробовать") и "компилируемую при установке". Но исходники есть, да.
Это если для себя пописываете прокатит,
а в ПО для людей крыкрыть фекалии гарниром, и типа и так сойдёт?
Тестировать надо после обновления модулей, ибо там помимо троянов могут быть просто баги. ;)
И как в себе воспитать экстрасенсорные способности какие вызовы в каком пакете заблокировать?
На самом деле всё очень просто ...
Запрещаешь ВСЁ !
А потом потихоньку приоткрываешь крышечку ящика пандоры.
А если таких пакетов например 100, а критериев запрещение например 10. Буду потихонечку открывать в 1000 итераций, когда я узнаю что вот зловред уже вылез или нет?
Не тащить в рот каку проще чем потом гадать от чего лечится.Все модные-современные языки это как раз про 100500 зависимостей на каждый чих, а потом поди угадай из какой зависимости и что прилетит.
Все пакеты с десериализацией рандомных блобов рандомно подгружаемых из интернета можешь блокировать, к примеру. Т.е. половину каталога.
Прекрасно, а как мне заизолировать сам secimport?
докер в докер в докер в докер и всё это в VM
Стараюсь всё это если не гуёвое запускать в докере и всё равно каждый страшно вдруг что вылезет из контейнера.
Ну запускай в виртуалке, кто ж мешает
Мда... Питон - это катастрофа для IT.
И что ты предложишь вместо него?
Практически единственный популярный язык от чтения которого не вытекают глаза.
Практически единственный популярный язык на котором можно написать более-менее сложную автоматизацию (perl в этом плане был лучше, но умер, с остальными вероятно потратить больше времени на написание, чем сэкономишь на автоматизации, на баше ничего больше однострочников писать не стоит)
> Практически единственный популярный язык, который я знаю, от чтения которого у меня не вытекают глаза.
> Практически единственный популярный язык, который я знаю, на котором я могу написать более-менее сложную автоматизациюНе благодари.
Отвратный язык, альтернатив полно.
Перл стократно лучше и минимум на треть быстрее.
Баш со своим удобством и гибкостью позволяет в 5 строк экран кода на питоне переписать.Из современного голанг вчистую лучше питона. Буквально во всем. Скоро в вебе ничего кроме него и не будет. Питонофилы вполне смогут его осилить - заучат мантры по гайдам.
Из скриптовых - луа прекрасный язык. Встраиваемый, легкий.