forum.opennet.ru

"46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."	+1 +/–
Сообщение от Аноним (38), 30-Июл-21, 17:17
Я не понимаю, какое отношение сериализация или шелл имеют к безопасности. Сериализация это не зашифрованные данные (лично я шифрую юзерские данные, код шифровать практического смысла нет). Find и grep позволяют быстро получить искомые данные с нужными условиями без необходимости поддерживать свой корявый обход дерева, а, кроме того, внешний find отрабатывает на порядки быстрее питонового scandir (текущего, раньше ещё тормознее было), так что кто тут ещё придурок надо разобраться.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код, opennews, 30-Июл-21, 14:39 [смотреть все]

Никогда такого не было, и вот опять, Noname, 30-Июл-21, 14:39 (1) //
- ну тут просто на расте питон надо переписать и все проблемы сами собой решатся , ХрюХрю, 31-Июл-21, 15:24 (132) //
  - https github com RustPython RustPython, Аноним, 01-Авг-21, 00:19 (142) //
    - Они все сделали через Должен же быть пыхтонраст , Аноним, 02-Авг-21, 08:27 (180)
Очередное британское исследование , Аноним, 30-Июл-21, 14:42 (2) //
- Пускай и финское , Аноним, 30-Июл-21, 14:43 (3) //
  - Британским ученым ровно ничего не мешает проводить исследования в Финляндии , Аноним, 30-Июл-21, 17:19 (39) //
    - Brexit все дела, Хан, 30-Июл-21, 20:35 (66)
    - Британский ученый - это призвание , Аноним, 30-Июл-21, 22:02 (76)
      - Скорее диагноз PS не, ну некоторые из ботоводов достаточно откровенны и сразу, Michael Shigorin, 01-Авг-21, 22:33 (165)
Какой бред Сам факт использования этих функций не является чем-то плохим А вот, Аноним, 30-Июл-21, 14:43 (4) //
- Там больше половины пунктов такой же бред Их послушать - вообще дышать не надо , Аноним, 30-Июл-21, 17:33 (42) //
  - Дык пишут же что потенциально Потенциально и бабушка это дедушка Потенциально , Амоним, 30-Июл-21, 18:09 (49)
- Любое хеширование предполагает, что вероятность появления двух одинаковых хешей , Аноним, 31-Июл-21, 04:59 (89) //
  - Ммм crc32 вроде весьма вероятно, популярный алгоритм , Аноним, 31-Июл-21, 05:20 (93) //
    - Этот только для проверки целостности годится для случаев случайного повреждения , Аноним, 31-Июл-21, 05:27 (96)
      - Т е CRC32 на что-то все-таки годится А MD5, для этих же целей - почему-то нет , Аноним, 31-Июл-21, 13:36 (127)
        
        Для тех целей, для которых пригоден crc32 остальные избыточны Слишком высокая д, Аноним, 31-Июл-21, 13:51 (129)
        
        Rsync md4 выбрал, например Недавно обновили до md5 и теперь xxhash с xxh3 sha-, Аноним, 31-Июл-21, 15:34 (134)
        
        В случае MD4 5 они с одной стороны пытались быть криптостойкими, что неизбежн, Аноним, 01-Авг-21, 05:23 (145)
- Эти функции протухли и не имеют вменяемого применения Если криптостойкость не н, Аноним, 31-Июл-21, 05:36 (99) //
  - Твои данные про сха1 протухли на шесть лет Сейчас оно хакается фпга асиком за па, GG, 01-Авг-21, 21:07 (163) //
    - на AWS инстансе с FPGA оно хакается дешевле 10 за хеш , Анон123амм, 02-Авг-21, 11:06 (182)
      - Oh no, прогресс движется быстрее чем мои знания о нём, GG, 02-Авг-21, 11:49 (183)
Python всегда был и останется рассадником мелких и крупных мерзостей , Гога, 30-Июл-21, 14:45 (5) //
- Это да, говнокодеров на питоне хоть отбавляй , Аноним, 30-Июл-21, 14:57 (10) //
  - Самое интересное, позже выяснится, что среди каргокультуристов их будет не меньш, Аноним, 30-Июл-21, 16:58 (35) //
    - Их уже больше , нах.., 30-Июл-21, 21:17 (67)
    - Культистов-самолётников среди питонистов тоже, к сожалению, очень-очень много, GG, 01-Авг-21, 21:09 (164)
      - Чуть менее чем все , Аноним, 06-Авг-21, 06:44 (197)
  - И ни одного который бы мог писать вменяемый код , Аноним, 30-Июл-21, 17:40 (45) //
    - Самое страшное, что понимают это единицы приешдшие из других языков Я в свое вре, Аноним, 01-Авг-21, 00:23 (143)
    - Неправда , Michael Shigorin, 01-Авг-21, 22:34 (166)
- Это да И то ли дело код на труЪ-ЯП https www opennet ru opennews art shtml nu, Аноним, 30-Июл-21, 16:50 (33) //
  - Так то был саботаж явный с целью оставить бэкдор , Аноним, 30-Июл-21, 16:55 (34) //
    - Угу, можно отметить, обнаружение в каталоге PyPI 8 вредоносных пакетов загрузи, Аноним, 30-Июл-21, 17:25 (41)
    - А у питонистов саботаж - в каждом первом пакете, при том не специально Прогают , Аноним, 31-Июл-21, 08:00 (105)
      - судя по ЧСВ, словесному недержанию и бессмысленому пафосу - балабол294 опять с , Аноним, 31-Июл-21, 12:56 (125)
  - Там же в новости ссылка на сам инцидент https www opennet ru opennews art sht, Урри, 02-Авг-21, 19:13 (189) //
    - А теперь попробуй читать глазами, а не жопой и заодно думать головой, а не т, Аноним, 03-Авг-21, 12:33 (192)
- По сравнению с js и php Сомневаюсь , Аноним, 30-Июл-21, 17:38 (43)
А давайте запретим eval , Annoynymous, 30-Июл-21, 14:48 (6) //
- Вообще eval давно пора вынести из пыха, пинота, и где он там ещё есть Можно не , Онаним, 30-Июл-21, 14:55 (9) //
  - ещё eval есть в bash, меня устраивает, не надо его никуда выносить, заминированный тапок, 30-Июл-21, 15:01 (12)
  - В пыхе оно не так часто встречается Но да, она губительна Отключить её через ко, fernandos, 30-Июл-21, 15:21 (15) //
    - Не, я имею в виду что-то типа --disable-eval по умолчанию , Онаним, 30-Июл-21, 20:22 (62)
      - Радикально, но да, так даже лучше , fernandos, 01-Авг-21, 18:52 (160)
      - Радикально, но да, так даже лучше , fernandos, 01-Авг-21, 18:52 (161)
    - asking the , InuYasha, 31-Июл-21, 10:29 (119)
      - the wrong question было в оригинале , Аноним, 31-Июл-21, 15:25 (133)
  - В js Самое большое зло - в js , Annoynymous, 30-Июл-21, 16:32 (29)
- 1 , Аноним, 30-Июл-21, 14:58 (11)
- Вообще-то это было бы очень удачной идеей, ибо эти господа быкуют на сишников и , Аноним, 31-Июл-21, 08:01 (106) //
  - Да не поимели Там явный бэкдор был , Аноним, 31-Июл-21, 10:28 (118) //
    - Да черт его разберет Вон тут рядом некто exec втулить в свой код предлагает, мн, Аноним, 01-Авг-21, 05:31 (147)
- А представь, что запретили Я напишу свой eval через дочерний интерпретатор, тебе, Аноним, 01-Авг-21, 03:01 (144) //
  - 1 Это больше приседаний, случайно, для своего удобства это уже все же никто дел, Аноним, 01-Авг-21, 05:38 (148) //
    - Конечно же, чем написать копеечную обертку над процессами, побегу переписывать в, Аноним, 01-Авг-21, 15:59 (159)
      - Побежишь, куда денешься Потому что иначе твоё поделие больше не запустится, и п, Онаним, 01-Авг-21, 19:12 (162)
        
        А ты кому нужен Девопсы деплоят то, что написали разработчики, а не разработчик, Аноним, 02-Авг-21, 13:29 (184)
        
        Вот девопсам это и объясняй, а не мне DЯ в т ч общую системную полиси генерю, , Онаним, 02-Авг-21, 22:03 (190)
        
        не, ты можешь конечно, никому не сказав, но при разборе полётов в случае дыры в, Онаним, 02-Авг-21, 22:05 (191)
      - Ну как бы я по подобным причинам и не собираюсь питонятиной пользоваться, больно, Аноним, 02-Авг-21, 04:52 (175)
        
        мои непроверенные пользовательские данные это медиафайлы И там уязвимостей в ни, Аноним, 02-Авг-21, 13:46 (185)
        
        Отличный аргумент за то чтобы их в sandbox по максимуму А то и пересобрать с as, Аноним, 06-Авг-21, 07:02 (198)
Но ведь 46 не большинство Всё нормально , Аноним, 30-Июл-21, 14:50 (7) //
- Это они просто процент считать не умели Питонисты, что с них взять Если посчит, Аноним, 31-Июл-21, 05:37 (100)
А что-нибудь реальное нашли вообще , Аноним, 30-Июл-21, 15:18 (14) //
- студенты получили зачёт - реальный практический результат, Нанобот, 30-Июл-21, 16:02 (24)
По порядку 1 try-except-pass - это нормальное использование обработки исключени, Аноним, 30-Июл-21, 15:43 (20) //
- С тобой прям совмем все понятно , нах.., 30-Июл-21, 21:41 (71)
- Интересно, как выглядит вменяемая реакция на все это А, стоп, это же питоняша , Аноним, 31-Июл-21, 08:11 (107)
- На своем локалхосту ты можешь даже иметь права root-а А вот там, где злой дядя, myhand, 31-Июл-21, 10:48 (121) //
  - Судя по былинному оптимизму насчёт ключей, он этого всего ещё просто не понимает, Michael Shigorin, 01-Авг-21, 22:38 (167)
- Это надо было выделить в пункт 0, потому что всё остальное на фоне сего громкого, Онаним, 31-Июл-21, 13:44 (128)
уверен, это число 46 может меняться в очень широких пределах скажем, где-то от, Нанобот, 30-Июл-21, 16:01 (23) //
- для кого-то просто летная погода, а студенту финскому - зачёт за летнюю практи, пох., 30-Июл-21, 16:02 (25) //
  - У Торвальдса надо спросить, он знает , Annoynymous, 31-Июл-21, 03:50 (84)
Это проблема всех центральных репозиториев Там будет все, что угодно Начиная от, Аноним, 30-Июл-21, 16:09 (26) //
- Backstabber 8217 s Knife Collection A Review ofOpen Source Software Supply Cha, Аноним, 30-Июл-21, 16:12 (27)
Кто бы сомневался, Аноним, 30-Июл-21, 16:22 (28)
Считала ЦИК 442 749 100 59 , Аноним, 30-Июл-21, 16:45 (32) //
- Машин-лёрнеры, они долю со среднеквадратичной функцией перепутали 100 749-442 , commiethebeastie, 30-Июл-21, 17:09 (37) //
  - Просто в смузи были неправильные грибы , Аноним, 30-Июл-21, 17:19 (40)
- Всего лишь питонисты , Аноним, 31-Июл-21, 05:23 (95)
- Нет, про ЦИК попытался сшутнуть тот, кто если был бы умным -- выяснил бы уже для, Michael Shigorin, 01-Авг-21, 22:43 (168) //
  - Сколько лживую гопоту не выгораживай, легитимнее не станет А этот мем всего лиш, Аноним, 02-Авг-21, 04:57 (176)
Потому что смузихлёбы Значительная часть разрабов, особенно в машобе и академии,, Аноним, 30-Июл-21, 17:03 (36) //
- Я не понимаю, какое отношение сериализация или шелл имеют к безопасности Сериал , Аноним, 30-Июл-21, 17:17 (38) //
  - Pickle - это не сериализация, это сериализация исполнение произвольного кода , Аноним, 30-Июл-21, 18:22 (51) //
    - Потому что авторы sklearn - тоже смузихлёбы, и другую сериализацию моделей им бы, Аноним, 30-Июл-21, 18:24 (52)
      - P S Сам смузихлёб В хорошем смысле Прямо сейчас хлебаю смузи из малины , Аноним, 30-Июл-21, 18:25 (53)
        
        Локап твоему гироскутеру , Аноним, 31-Июл-21, 08:14 (108)
    - А ещё можно скачать пакет с пупи и с ней тоже приходит код А еще можно скачать , Аноним, 30-Июл-21, 18:36 (55)
      - Пакет - код по определению Модель в смысле машоба - по определению - данные - , Аноним, 30-Июл-21, 18:43 (57)
      - По первой части них не понял, но к требованию присоединяюсь , Онаним, 31-Июл-21, 09:00 (113)
    - Воообще тогда не вижу смысла в вашем пистоне , нах.., 30-Июл-21, 21:46 (74)
  - Главное не логические связи и какие-то там аргументы, главное назвать группу Х , Аноним, 30-Июл-21, 18:32 (54)
  - Shell имеет прямое отношение к безопасности из за кривых разрабов не проверяющих, Хан, 30-Июл-21, 20:32 (63) //
    - Пользовательский ввод нужно проверять всегда И его нужно экранировать Мои люби, Аноним, 30-Июл-21, 21:18 (68)
      - Клауд спайварь налетела на соседнем баге - ничтоже сомневаясь распаковывая всяки, Аноним, 31-Июл-21, 08:17 (109)
    - Почему вы решили что там подразумевался пользовательский ввод во входящих данных, Аноним, 30-Июл-21, 21:25 (70)
      - Любые другие данные у софта доверенные Если там написано rm -rf, значит, так и , Аноним, 30-Июл-21, 21:42 (72)
        
        На ту же тему в основном около -print0 ---Использование find при работе с ката, Michael Shigorin, 01-Авг-21, 22:50 (169)
- Смузи тут не при чём Питон ещё используют как продвинутую замену для bash, из-з, Аноним, 30-Июл-21, 18:06 (48) //
  - Unix way program does one thing and does it well Python way does everything, w, Аноним, 31-Июл-21, 08:18 (110)
Да нормально Только добавьте анализатору поддержку других языков Я свой диванн, Аноним, 30-Июл-21, 17:50 (46)
А они при своем великом исследовании игнорировали код из попочек tests Похоже ч, Volodya, 30-Июл-21, 17:59 (47) //
- Открою тебе страшную тайну у питоняш половина логинов-паролей-ключей из попоче, Аноним, 31-Июл-21, 08:19 (111)
А это точно группа исследователей, а не курсач студентов , Аноним, 30-Июл-21, 18:10 (50)
о, да, людлю небезопасный код , Аноним, 30-Июл-21, 18:38 (56)
Хмык Жаль, что исследователей из университета не интересуют не-университетск, YetAnotherOnanym, 30-Июл-21, 19:37 (58)
Может быть и мне начать проводить подобные исследования простым шелл-скриптом по, Dzen Python, 30-Июл-21, 20:08 (61) //
- Ключевые пакеты C доступные через nuget очень ладно скроены самой Microsoft, Хан, 30-Июл-21, 20:34 (64) //
  - Прогиб засчитан, но если заменть C на любой другой язык - суть не изменится Ва, Аноним, 30-Июл-21, 22:05 (78)
Вот плата за то, что в язык привлекаются толпы остолопов , Gogi, 30-Июл-21, 20:35 (65) //
- Это ты про утечки в С С , Аноним, 30-Июл-21, 21:44 (73) //
  - А ты про вот это вот в Rust https cve mitre org cgi-bin cvekey cgi keyword rus, Аноним, 30-Июл-21, 22:02 (75) //
    - А прикольно, они уже таки научились стрелять в пятки довольно метко Или вот еще , Аноним, 31-Июл-21, 05:32 (97)
  - Более того, учи матчасть маленький В C C утечек нет внезапно В отличии от тв, Аноним, 30-Июл-21, 22:02 (77)
  - если голова из жопы ростот то да Не используй указатели, или пользуйся исключит, СССР, 30-Июл-21, 23:11 (80) //
    - Да и динамическое выделение памяти можно не использовать А вот в хрусте с всем , Аноним, 31-Июл-21, 05:33 (98)
      - но с другой стороны, как без динамики это тоже что сказать себе нет, бегать я, СССР, 31-Июл-21, 08:27 (112)
        
        Да нормально вполне Особенно в всяких фирмварях микроконтроллеров Да и даже в , Аноним, 01-Авг-21, 05:47 (149)
        
        если у обоих опыта по пол года, курсы закончили которые то оба косячить будут,, СССР, 04-Авг-21, 00:18 (194)
  - Эти для совсем уж остолопов неудобные Первый при бытье остолопом задолбает А в, Аноним, 31-Июл-21, 05:21 (94)
Не удивлен, библиотеки для питона написаны любителями , Skullnet, 30-Июл-21, 21:23 (69) //
- numpy, pandas, srapy, flask и еще 319 тыс либ написаны любителями Хороши люб, economist, 30-Июл-21, 23:25 (81) //
  - Тогда им двойной позор за такое качество кода, значит гамнякали вполне сознатель, Аноним, 31-Июл-21, 05:19 (92) //
    - Тогда тройной, они еще и на пипу гордо выставили это, на всеобщее , нах.., 31-Июл-21, 06:41 (103)
  - Не надо путать обертки для питона с языком, на котором написана библиотека numpy, Аноним, 31-Июл-21, 09:37 (117) //
    - На гитхаб ссылки дать, или сами найдете процентовка кода по ЯП указана справа, , economist, 31-Июл-21, 14:46 (130)
      - А причем тут процентовка И как это отменяет тот факт, что, например, питоновска, Аноним, 31-Июл-21, 18:48 (138)
        
        https github com numpy numpyтам написано черным по белому на светлой теме Pyt, economist, 31-Июл-21, 19:37 (139)
  - Про научный код -- что на питоне, что на плюсах, сях или фортране -- вот выйдет , Michael Shigorin, 01-Авг-21, 22:54 (170)
потому что питон изначально полюбился математикам для быстрого наброса формулы, , СССР, 30-Июл-21, 23:09 (79)
начало конца Грядет кончина IT сферы, какой мы ее знаем Еще лет 30 в средне, нитрол, 31-Июл-21, 02:32 (82) //
- Как обычно, самое время осваивать си и асм Это был популярный тренд 20 лет наза, Аноним, 31-Июл-21, 03:10 (83) //
  - было фотопленка - взгляд фотографа - фотографиястало телефон - сэлфи палка - и, СССР, 31-Июл-21, 04:34 (86) //
    - Музыка стала лучше, техничнее, кинематограф взлетел как никогда, фотография пере, Аноним, 31-Июл-21, 04:50 (87)
      - Музыка лучше не стала, почти все легенды - это лет 30 назад Зато вылупилась то, Аноним, 31-Июл-21, 05:18 (91)
        
        Это и есть взлёт Взлёт индустрии, а не качества кода Экспансия в ширь, из-за к, Аноним, 31-Июл-21, 09:23 (114)
        
        Больше всего этот взлет напоминает, вот реально, современных российских строит, Аноним, 01-Авг-21, 05:59 (150)
        
        Кмк, перепутаны причина и следствие Треш 30-летней давности уже никто не помнит, Аноним, 31-Июл-21, 10:30 (120)
        
        Кмк да, согласен Впрочем в музыке я с удовольствием кушаю свеженькое, поэтому л, Онаним, 31-Июл-21, 10:55 (122)
        
        Ну да - закономерный процесс, а не начало конца И, кстати новые, более новые , Аноним, 31-Июл-21, 13:30 (126)
        
        Появилась некая теория какие звуки нравятся людям И довольно много этого добра , Аноним, 02-Авг-21, 08:24 (179)
        
        Очень интересно Хотя-бы десяток музыкальных произведений и их создателей 3000-л, Аноним, 01-Авг-21, 06:17 (151)
        
        Все херово, а раньше было лучше Спасибо , Аноним, 01-Авг-21, 12:40 (158)
        
        Это было к слову о тысячелетиях и молодёжи, которая хлещет неразбавленное вино , Michael Shigorin, 01-Авг-21, 23:16 (174)
        К тому есть некие предпосылки Пока нечто сложно и challenge, хреново это делать, Аноним, 02-Авг-21, 05:03 (177)
        
        Вы всё проморгали Ливарюция в синематографе таки случилась -- по крайней мере , Michael Shigorin, 01-Авг-21, 23:14 (173)
        
        Я это уже читал Прикольная штука И, КМК, вы среди его букв не увидели то что о, Аноним, 02-Авг-21, 08:12 (178)
      - Лучше или техничнее Лет двадцать назад хорошему приятелю, собравшему своими рука, Michael Shigorin, 01-Авг-21, 23:04 (171)
        
        Да, какой-нибудь Anal Cunt, пожалуй, только вживую и заходит Но, есть же там He, Аноним, 02-Авг-21, 15:58 (188)
      - музыка стала квадратная, кино содержит максимум насилия, фотография стала не иск, СССР, 04-Авг-21, 00:05 (193)
        
        Ну как бы твоё мировосприятие тоже построено только на самых поверхностных вещах, Аноним, 04-Авг-21, 00:41 (195)
        
        совершенству нет предела и естественно и мне и тем кто мудрее меня в разы и им т, СССР, 05-Авг-21, 08:14 (196)
Несмотря что у Питона и ниша применения далеко не всегда требует вообще задумыва, _kp, 31-Июл-21, 04:33 (85)
инструмент недалеко ушёл от такого for n in ls py doecho n уязвим done, бедный буратино, 31-Июл-21, 04:58 (88)
Какой сюрприз, оказывается на питоне в основном г внокодят , Аноним, 31-Июл-21, 05:13 (90) //
- Вы упускаете существенную разницу между созданием и публикацией, думаю , Michael Shigorin, 01-Авг-21, 23:07 (172)
интересный тест, эта страница так же содержит небезопасный код,так как присутств, Аноним, 31-Июл-21, 07:56 (104)
в результате любой крупный проект использующтй стронние либы на любом ЯП будетвс, Аноним, 31-Июл-21, 09:28 (115) //
- Да Любой крупный проект всегда будет уязвим, идеальных писателей нет , Онаним, 31-Июл-21, 10:58 (123)
- Другое дело, что крупный проект на пистонах - это обычно 99 стороннего кода, , Онаним, 31-Июл-21, 10:58 (124)
ну почти весь код потенциально опасен , Аноним, 31-Июл-21, 09:37 (116) //
- значит, любой программист потенциально опасен кровожадный рёв роскомнадзиллы , InuYasha, 31-Июл-21, 17:29 (136)
- Не ну, и не почти А всегда и везде В отличии от презумции невиновности человека, Брат Анон, 01-Авг-21, 08:55 (155)
Уязвимости ОС, протоколов WiFi, железа - гораздо опаснее чем какие-то try except, economist, 31-Июл-21, 15:14 (131) //
- Экономист прав Питон не чмырите Язык хороший в свой нише , Аноним, 31-Июл-21, 17:25 (135) //
  - в своей днише , InuYasha, 31-Июл-21, 17:30 (137)
- Расскажите это кулхацкерам которых поимели через bitmessage, да еще распиарив си, Аноним, 01-Авг-21, 06:30 (152)
Какое это имеет значение, если программы все равно выполняются на небезопасном п, Аноним, 31-Июл-21, 23:10 (140) //
- Да, процессор опасный а не небезопасный -- безопасность пока никто не доказал, , Брат Анон, 01-Авг-21, 08:57 (156)
Библиотека bandit которой проводился анализ выдает очень посредственные результа, Mikhail, 01-Авг-21, 07:54 (153) //
- Начну с конца 1 Это не сайт специалистов 2 bandit если память не отшибло вкл, Брат Анон, 01-Авг-21, 09:02 (157)
А почему не 146 , Анон1212, 02-Авг-21, 15:02 (187)
Надо было на расте писать , Аноним, 09-Авг-21, 20:44 (199)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру