forum.opennet.ru

"В репозитории PyPI выявлено около 5000 оставленных в коде секретов и 8 вредоносных обфускаторов"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."	+/–
Сообщение от _kp (ok), 27-Ноя-23, 11:40
Мелочёвку проще написать самому, что бы точно работало как ожидаешь. А что крупнее, то поключить проверенные сторонние библиотеки, но если они есть. А профессионалы гарантируют, что ПО взятое у них, будет работать правильно. А за работу, даже того же самого, но собранного самостоятельно из тех же исходников, уже никто не отвечает. Как пример, если взять например на Гитхабе, какое то бегемотистое ПО на Си, и подобных языках, то оно и соберется и заработает. Вероятность что что то не получится, пренебрежимо мала. А если попытаться запустить что то, тянущее зависимости из репозитарив в стиле "выгребная яма", то не факт что вообще ПО запустится. А если что постарее попытаться запустить, то мат на ровном месте без причины будет обеспечен. Так, в примере, до зловредов даже не дошли. ps: Справедливости ради, в любых исходниках, в том числе на Си и подобных языках, скачанном из всяких Гитхабов, и подобных, злонамеренный функционал встречается, и не представляет что то редкое, из рада вон выходящее. Только из репозиториев библиотек оно распространяется сильно быстрее.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

В репозитории PyPI выявлено около 5000 оставленных в коде секретов и 8 вредоносных обфускаторов, opennews, 24-Ноя-23, 18:18 [смотреть все]

Там есть про то, кто убил Кенеди Если нет - никакие это не секреты, просто паро, Аноним, 24-Ноя-23, 18:18 (1) //
- доподлинно известно, что его убил не Ли Харви Освальд, а инопланетяне с планеты , Аноним, 24-Ноя-23, 18:19 (3)
Ну офигеть - кричали гости , Аноним, 24-Ноя-23, 18:18 (2)
Никогда такого небыло Ну как говорится в лучших традициях PyPI и Cargo , Растишка, 24-Ноя-23, 18:25 (8) //
- А что было в Cargo , freecoder, 24-Ноя-23, 19:37 (19) //
  - он перепутал с npm, Аноним, 24-Ноя-23, 19:42 (21) //
    - Любая подобная репа будет помойкой, можно не тратить усилия и не устраивать тут , YetAnotherOnanym, 24-Ноя-23, 20:05 (23)
    - Но и cargo потенциально не безопасен Люди ждут, что пакеты пишут профессионалы,, pda, 24-Ноя-23, 20:08 (24)
      - Но и любой репозиторий потенциально небезопасен Если ты добавишь в зависимость в, Анонин, 24-Ноя-23, 20:44 (25)
        
        Троян вполне можно получить и с офф аккаунта, Neon, 26-Ноя-23, 02:26 (80)
        
        Троян можно написать самому, Аноним, 27-Ноя-23, 21:33 (105)
      - Люди ждут, что пакеты пишут профессионалы, что на загруженный код можно положит, Аноним, 25-Ноя-23, 13:58 (59)
        
        так код этих опускаторов - работал Тесты пройдены, прафисианал в деле то ест, нах., 25-Ноя-23, 15:51 (65)
        
        да и не только тесты Говорят, тайпскрипт очень хорошо воспринимает сторонние па, Бывалый смузихлёб, 26-Ноя-23, 17:21 (97)
        
        Порой проще свой код написать, чем ковырять и делать полный аудит чужого Да и р, Neon, 26-Ноя-23, 02:28 (81)
        Ну потестил - заработало, нужная фича появилась Что ещё Для большого и относит, Бывалый смузихлёб, 26-Ноя-23, 17:26 (98)
        Мелочёвку проще написать самому, что бы точно работало как ожидаешь А что крупне , _kp, 27-Ноя-23, 11:40 (101)
А в SD он используется Этот ПаПай, Аноним, 24-Ноя-23, 18:38 (12) //
- ServiceDesk , Аноним, 25-Ноя-23, 02:29 (34) //
  - Стандартное отклонение 8212 от англ standard deviation , Аноним, 25-Ноя-23, 14:52 (62) //
    - Обычно это пишут в нижнем регистре , Аноним, 25-Ноя-23, 15:43 (64)
  - Stable Diffusion, Аноним, 25-Ноя-23, 23:34 (78)
пакетная база большая из них больше половины явно мусорное кем это фильтрует, Аноним, 24-Ноя-23, 19:01 (13) //
- pypi и npmjs сборники мусора который нельзя удалять там полно никому не нужны, анон, 24-Ноя-23, 19:41 (20) //
  - Хорошо, что в Golang такого нет , 11111001010, 25-Ноя-23, 08:40 (42)
  - Помещаешь пакет как уязвимый, и когда останется меньше 100 пользователей - удаля, Аноним, 25-Ноя-23, 09:44 (46) //
    - Никогда Как висело зависимостью в 1000 не менее брошенных пакетов, так и будет , Tron is Whistling, 25-Ноя-23, 23:53 (79)
      - Ну, да, мусорные пакеты, которые никто не поддерживает и вряд ли кто-то использу, Аноним, 26-Ноя-23, 06:10 (83)
        
        Кто сказал, что в хламореповнике ими никто не пользуется Там ещё 100500 чуть мен, Tron is Whistling, 26-Ноя-23, 11:38 (90)
Если посмотреть на код, который загружают скрипты, то станет понятно, что это дл, kl0p, 24-Ноя-23, 19:05 (14) //
- генерируется мусор а виндузятникам пофигу обычно что там крутится, Аноним, 24-Ноя-23, 19:20 (16)
- ну не нужен пока никому неуловимый джо Майнинг снова вышел из моды а больше ни , нах., 25-Ноя-23, 09:42 (45)
Т е на 5 млн пакетов нашли всего восемь вредноносных И из-за чего шум тогда , Анонин, 24-Ноя-23, 19:14 (15) //
- Чукча, очевидно, не читатель, Аноним, 24-Ноя-23, 19:32 (18)
- Это перекликается со старым анекдотом У одного мужика все лето крали арбузы,ему , Аноним, 25-Ноя-23, 14:35 (60)
Причина потерять веру в нечто, похожее на IT А, Python Тормозящая туфта Под, Аноним, 24-Ноя-23, 19:31 (17) //
- ну зачем ты так вот сразу-то Интегрированный в пакеты вредоносный код был специф, пох., 24-Ноя-23, 19:47 (22) //
  - Понятно, что Python убог, но списывать на 171 либы 187 всё 8212 такое себ, Аноним, 25-Ноя-23, 11:12 (53)
  - Ничего особо не мешает сделать похожее и под линукс, Neon, 26-Ноя-23, 02:29 (82) //
    - трудозатраты мешают Там выше уже писалось же - майнинг снова вышел из моды, на , нах., 26-Ноя-23, 11:50 (95)
- Надо на Mojo переходить , Аноним, 24-Ноя-23, 21:06 (28)
Хламокодинг всегда был и будет хламокодингом, пора уже привыкнуть , Tron is Whistling, 24-Ноя-23, 20:58 (27) //
- Бечь-то куды, куды бечь скажите Рейс на Марс видимо отменяется - там опять буде, нах., 24-Ноя-23, 22:46 (30) //
  - Куды бечь - скрыто в никнейме Не моём Именно туда, подальше от хламокодинга , Tron is Whistling, 24-Ноя-23, 22:48 (31) //
    - Уныло глядит на требования к водителю автобуса в одной не вконец еще е6анувшейся, нах., 25-Ноя-23, 09:38 (43)
      - Ну и радуйся жизни А то потом помирать, а отдавать свой ресторан какому-нибудь , Аноним, 25-Ноя-23, 10:46 (51)
    - К здравомыслию, не , Аноним, 25-Ноя-23, 11:23 (56)
Чем больше синтаксического сахара в яп, тем больше проблем и узких мест , Аноним, 24-Ноя-23, 23:24 (32) //
- Как известно, C - это ассемблер, щедро политый сахарным сиропом , Аноним, 25-Ноя-23, 03:23 (36) //
  - Нет, Аноним, 25-Ноя-23, 11:24 (57)
- Тут приходится выбиоать либо ничем не политый и софта на нём 3 5 штуки, либо до, Аноним, 25-Ноя-23, 17:35 (71)
Вендузятников-любителей обфускации не жалко, зря они заложили pyobf-пакеты , x3who, 24-Ноя-23, 23:58 (33)
Не иначе через зависимости зловреды устанавливаются Когда глубина зависимостей , Аноним, 25-Ноя-23, 02:56 (35)
Предполагаю, что через какое-то время демократия закончиться и кто-то начнет дум, Аноним, 25-Ноя-23, 04:05 (39) //
- Зачем Так оно копейки стоит, а это в этот хлам вкладываться придётся Собственно, Tron is Whistling, 25-Ноя-23, 10:02 (48)
- К какому классу отнести компании, пихающие телеметрию и бэкдоры в бинарники сред, nox., 25-Ноя-23, 10:31 (49)
- Так всегда было Это извечная борьба Если ты не закроешь дверь, то найдётся кто, Вы забыли заполнить поле Name, 25-Ноя-23, 19:04 (75)
- Зачем вы ляпаете слова, смысл которых не знаете Когда любой можно опубликовать , Аноним, 27-Ноя-23, 12:20 (102)
никогда не понимал, зачем это, когда есть пакетный менеджер ОС, Аноним, 25-Ноя-23, 04:47 (40) //
- Ось может любой создать, даже я свой дистриб собираю Пакетный менеджер должен б, Аноним, 25-Ноя-23, 06:01 (41) //
  - эээ изначальный набор слов я вообще не понял, к чему последний бред тоже не по, Аноним, 25-Ноя-23, 09:58 (47)
- Для распространения софта У других могут быть другие дистрибутивы или операцион, Вы забыли заполнить поле Name, 25-Ноя-23, 11:21 (55) //
  - Именно так и делается Благо в мире C зависимости обычно позадачные, а не постро, Tron is Whistling, 25-Ноя-23, 11:45 (58) //
    - Не от хорошей жизни Вот дать нормальные модули в язык, унифицированную систему , Вы забыли заполнить поле Name, 25-Ноя-23, 18:53 (73)
      - Ну, вот что ни хипстерский шит, то обычно да, с маленькими модулями и хламокодин, Tron is Whistling, 25-Ноя-23, 22:38 (76)
        
        Кстати, если говорить про js, то ранее, до распространения npm и модулей commonj, Вы забыли заполнить поле Name, 25-Ноя-23, 22:43 (77)
Отравили репозиторий Python Это системная проблема Без репозиториев, которые с, nox., 25-Ноя-23, 10:37 (50) //
- приматы после просмотра двух роликов по машинному обучению считают себя спецами , Аноним, 25-Ноя-23, 11:01 (52) //
  - Всегда так было Просто язык популярен и это побочный эффект До этого популярен, Вы забыли заполнить поле Name, 25-Ноя-23, 18:58 (74)
Как я понимаю, проблема заключается в том, что многие разработчики , которые по, ptr, 25-Ноя-23, 11:14 (54) //
- Может и в состоянии, но там по цепочке дедка за репку, бабка за дедку, внучка з, Аноним, 25-Ноя-23, 14:52 (61) //
  - Не утрируйте Таких базовых библиотек, которые все тянут за собой, пару десятков, ptr, 25-Ноя-23, 15:09 (63) //
    - Угу, разворачивал я одно такое поделие, ну, потребовалось - по принципу разверн, Tron is Whistling, 26-Ноя-23, 11:41 (91)
      - Короче всё это ныне сидит на отдельной виртуалке в чруте и имеет состояние подде, Tron is Whistling, 26-Ноя-23, 11:42 (92)
- Не в желании скорее Поставили, работает и ладно А то, что там дичь какая-нибуд, Вы забыли заполнить поле Name, 25-Ноя-23, 18:51 (72) //
  - Желание зависит, в том числе, и от квалификации Разработчику с опытом кодирован, ptr, 26-Ноя-23, 11:28 (89) //
    - В этом плане очень удобно перехлёстываются C, C , Java, NET C , PHP и ещё неск, Tron is Whistling, 26-Ноя-23, 11:44 (93)
    - А вот у езычков со своим вычурным синтаксисом всякие пито-расты с этим конкрет, Tron is Whistling, 26-Ноя-23, 11:45 (94)
    - Чёт какие-то фантазии, не пересекающиеся с реальностью, бротышка Или у тебя бол, Аноним, 26-Ноя-23, 15:32 (96)
      - Полагаю, что большинство у него - это те, кто по курсам в интернетиках И таки, Аноним, 27-Ноя-23, 12:29 (103)
        
        Понятно, что моя выборка нерепрезентативна, но, судя по количеству задач в Jira , ptr, 28-Ноя-23, 14:50 (106)
    - Ну вот, например, какой-нибудь numpy или pandas использует овердовига людей Вря, Вы забыли заполнить поле Name, 28-Ноя-23, 21:20 (107)
Интересно, сколько такого же спрятано в растовском карго , Аноним, 27-Ноя-23, 09:08 (99) //
- По идее меньше Во-первых, самого по себе кода там меньше понаписано Во-вторых, к, Аноним, 27-Ноя-23, 12:35 (104)
Они бы ещё на DepositFiles вирусы искали , Пряник, 27-Ноя-23, 09:59 (100)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру