OpenForum RSS: Подмена зависимости в Python-библиотеке, насчитывающей 40 млн загрузок в месяц https://www.opennet.ru/openforum/vsluhforumID3/136238.html В библиотеке Python JSON Logger выявлена уязвимость (CVE-2025-27607) дающая возможность подменить зависимость при установке через каталог PyPI и добиться выполнения своего кода на системах, использующих данный пакет. Библиотека Python JSON Logger, которая позволяет организовать ведение лога в формате JSON, за последний месяц была загружена 40 млн раз. Проблема устранена в версии Python JSON Logger 3.3.0, опубликованной 7 марта...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62856<br> Подмена зависимости в Python-библиотеке, насчитывающей 40 мл... (Tron is Whistling) https://www.opennet.ru/openforum/vsluhforumID3/136238.html#76 Sun, 16 Mar 2025 13:32:22 GMT Да нет, я как раз об этом самом.<br>И блоки не помогут - тысячи хомячков просто продолжат сидеть на пакетах с дырками, переходить на другие-то лень.<br> Подмена зависимости в Python-библиотеке, насчитывающей 40 мл... (нах.) https://www.opennet.ru/openforum/vsluhforumID3/136238.html#75 Sat, 15 Mar 2025 13:26:38 GMT &gt; Дело не конкретно в питоне, дело в принципе в работе с модулями <br><br>тут такоэ... чем неэффективней язык и чем больше ему требуется лефтпадов для самых простых задач - тем больше ты вынужден тянуть в проект, не разбирая уже мух от котлет.<br>И это таки фича язычков быстрого прототяпляпирования, что лефтпадов много да еще и каждый день разные.<br><br>&gt; Нет никакой гарантии. Проблема в том, что оно даже с трояном запросто <br>&gt; может не завестись и придётся тратить день-неделю на оживление горы кодового <br>&gt; мусора чтобы оно хоть как-то заработало <br><br>потому что пока ты копался - одна из стомиллионпицотых вложенных зависимостей внезапно обновилась на несовместимую версию. (совместимость - это тоже не про современную разработку ни разу)<br><br>Так что изумлять должно не это, а наоборот - что в общем и целом-то иногда этот софт даже удается самому собрать, а не авторский докер в докере (в истории которого только FROM: srach - и весь этот srach подметен с пола авторского локалхоста в единственной-неповторимой позе, без малейшег Подмена зависимости в Python-библиотеке, насчитывающей 40 мл... (Смузихлеб забывший пароль) https://www.opennet.ru/openforum/vsluhforumID3/136238.html#74 Sat, 15 Mar 2025 06:00:02 GMT Дело не конкретно в питоне, дело в принципе в работе с модулями и библиотеками. Прямо сейчас на конторе имеется эпический гемор с котлином и обновлением его зависимостей<br>И это при, в осн, автоматической сборке<br><br>А если каждую штуковину каждый участник проекта будет вручную ставить, проходя по 15-20 шагов редактирования разных файлов и перемещения данных по папкам ?<br><br>Нет никакой гарантии. Проблема в том, что оно даже с трояном запросто может не завестись и придётся тратить день-неделю на оживление горы кодового мусора чтобы оно хоть как-то заработало<br> Подмена зависимости в Python-библиотеке, насчитывающей 40 мл... (Смузихлеб забывший пароль) https://www.opennet.ru/openforum/vsluhforumID3/136238.html#73 Fri, 14 Mar 2025 06:28:03 GMT &gt; Смысл жизни &#8211; стать удобрением.<br><br>"-Вот, помнишь, в 2005 году, в конце лета, ты ехал в поезде и тебя попросили передать сахар. -Да, я и передал. -Да, передал. Ты передал сахар. Вот в этом моменте смысл твоего существования и был и ты это исполнил, ты сделал то, для чего был создан и можешь этим гордиться"(с)<br> Подмена зависимости в Python-библиотеке, насчитывающей 40 мл... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/136238.html#72 Thu, 13 Mar 2025 17:37:37 GMT Это другое, это понимать надо<br> Подмена зависимости в Python-библиотеке, насчитывающей 40 мл... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/136238.html#71 Thu, 13 Mar 2025 17:36:37 GMT Вот всё в этом вашем линуксе не так: 100500 зависимостей и поставить другую версию рядом нельзя а установить с отсутсвующей зависимостью можно...<br> Подмена зависимости в Python-библиотеке, насчитывающей 40 мл... (янеарабпростопохож) https://www.opennet.ru/openforum/vsluhforumID3/136238.html#70 Wed, 12 Mar 2025 20:10:13 GMT На молотке не написано какой стороной гвозди забивать.<br>Проблема тут в авторе пакета, который за зависимостями не следил.<br> Подмена зависимости в Python-библиотеке, насчитывающей 40 мл... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/136238.html#69 Wed, 12 Mar 2025 18:21:34 GMT &gt; А я не использую PyPI. Ставлю через APT и через GitHub. Уже более 10 лет. Полёт нормальный. Шах и мат, подменщики зависимостей.<br><br>Ты это можешь на своём локалхосте делать, а если проект публичный, то любой его пользователь наступит в лефтпад. Но чтобы это понимать надо писать что-то полезное за пределами своего локалхоста.<br> Подмена зависимости в Python-библиотеке, насчитывающей 40 мл... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/136238.html#68 Wed, 12 Mar 2025 06:44:06 GMT &gt; Кстати, май инглиш из вери бэд<br><br>Автоматическим переводчиком в браузере принципиально не пользуетесь?<br>