The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В репозитории PyPI выявлено около 5000 оставленных в коде секретов и  8 вредоносных обфускаторов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В репозитории PyPI выявлено около 5000 оставленных в коде секретов и  8 вредоносных обфускаторов"  +/
Сообщение от opennews (??), 24-Ноя-23, 18:18 
Исследователи GitGuardian опубликовали результаты анализа конфиденциальных данных, забытых разработчиками в коде, размещённом в репозитории Python-пакетов PyPI (Python Package Index). После изучения более 9.5 млн файлов и 5 млн релизов пакетов, связанных с 450 тысячами проектов, было выявлено 56866 фактов утечки конфиденциальных данных. Если учитывать только уникальные данные, без дублирования в разных релизах, число выявленных утечек составило 3938, а число проектов, в которых присутствует  хотя бы  одна утечка - 2922...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=60169

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  –1 +/
Сообщение от Аноним (1), 24-Ноя-23, 18:18 
Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором  +2 +/
Сообщение от Аноним (3), 24-Ноя-23, 18:19 
Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором  +/
Сообщение от Аноним (2), 24-Ноя-23, 18:18 
Ответить | Правка | Наверх | Cообщить модератору

8. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  –3 +/
Сообщение от Растишка (?), 24-Ноя-23, 18:25 
Никогда такого небыло!
Ну как говорится в лучших традициях PyPI и Cargo :)
Ответить | Правка | Наверх | Cообщить модератору

19. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от freecoder (ok), 24-Ноя-23, 19:37 
А что было в Cargo?
Ответить | Правка | Наверх | Cообщить модератору

21. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +5 +/
Сообщение от Аноним (21), 24-Ноя-23, 19:42 
он перепутал с npm
Ответить | Правка | Наверх | Cообщить модератору

23. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +4 +/
Сообщение от YetAnotherOnanym (ok), 24-Ноя-23, 20:05 
Любая подобная репа будет помойкой, можно не тратить усилия и не устраивать тут перекличку.
Ответить | Правка | Наверх | Cообщить модератору

24. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +3 +/
Сообщение от pda (ok), 24-Ноя-23, 20:08 
Но и cargo потенциально не безопасен. Люди ждут, что пакеты пишут профессионалы, что на загруженный код можно положиться. В реальности их пишут кто попало...
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

25. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  –2 +/
Сообщение от Анонин (?), 24-Ноя-23, 20:44 
Но и любой репозиторий потенциально небезопасен.
Если ты добавишь в зависимость/выкачаешь либу не с офф. аккаунта, а напр. с мутного форка - то у тебя есть все шансы получить троян.
Напр. https://www.opennet.me/opennews/art.shtml?num=57596

А если ты внимательный, то что мешает быть таким же при выборе зависимостей для питона/раста/с++?

Ответить | Правка | Наверх | Cообщить модератору

80. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Neon (??), 26-Ноя-23, 02:26 
Троян вполне можно получить и с офф.аккаунта
Ответить | Правка | Наверх | Cообщить модератору

105. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (105), 27-Ноя-23, 21:33 
Троян можно написать самому
Ответить | Правка | Наверх | Cообщить модератору

59. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  –4 +/
Сообщение от Аноним (59), 25-Ноя-23, 13:58 
"Люди ждут, что пакеты пишут профессионалы, что на загруженный код можно положиться." - ну это проблема хэлловорлдщиков и любителей спагетти. Профессионалы прежде чем использовать чужой код тестят его. Либо делают полный аудит.
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

65. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +6 +/
Сообщение от нах. (?), 25-Ноя-23, 15:51 
так код этих... опускаторов - работал. Тесты пройдены, прафисианал в деле.

> Либо делают полный аудит.

то есть тратят вдесятеро больше времени чем если бы просто написали то же самое с нуля?

И где же водятся такие профиси@налы? В твоем маня-мирке?

Увы, люди используют чужой код чтобы не делать работу которую за них уже кто-то сделал. Потому что это физически невозможно, для начала. Как и всю остальную цивилизацию вокруг себя воссоздать на пустом месте. А раз цивилизация не вся тобой начиная с песка построена - в ней возможны атаки на supply chain с любой стороны.

Ответить | Правка | Наверх | Cообщить модератору

97. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Бывалый смузихлёб (?), 26-Ноя-23, 17:21 
да и не только тесты. Говорят, тайпскрипт очень хорошо воспринимает сторонние пакеты...
Ответить | Правка | Наверх | Cообщить модератору

81. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Neon (??), 26-Ноя-23, 02:28 
Порой проще свой код написать, чем ковырять и делать полный аудит чужого. Да и работодатель не оценит ковыряние в чужом коде.
Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

98. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +1 +/
Сообщение от Бывалый смузихлёб (?), 26-Ноя-23, 17:26 
Ну потестил - заработало, нужная фича появилась. Что ещё ?
Для большого и относительно-сложного проекта( даже приложение что отлично работает на яблоке, андройде, винде, яблоке-настольном и линухе ) - невозможно перетрясти каждый пакет или для каждого запилить свой аналог
Вообще-то, возможно запилить, но редко в любой конторе сидят мастера по работе с каждой нативщиной, смежно разбирающиеся в кроссплатформенных делах чтобы собственноручно запилить каждую версию конкретного модуля
А, там же ещё работа с железом/графикой... ну тоже бывает. Но не так часто бывают такие посоны, как хотелось бы. Особенно за умеренную зп. Очень умеренную. Щоб у конторы бюджеты не треснули за первые 2 недели
Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

101. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от _kp (ok), 27-Ноя-23, 11:40 
Мелочёвку проще написать самому, что бы точно работало как ожидаешь.
А что крупнее, то поключить проверенные сторонние библиотеки, но если они есть.

А профессионалы гарантируют, что ПО взятое у них, будет работать правильно.
А за работу, даже того же самого, но собранного самостоятельно из тех же исходников, уже никто не отвечает.

Как пример, если взять например на Гитхабе, какое то бегемотистое ПО на Си, и  подобных языках, то оно и соберется и заработает. Вероятность что что то не получится, пренебрежимо мала.

А если попытаться запустить что то, тянущее зависимости из репозитарив в стиле "выгребная яма", то не факт что вообще ПО запустится. А если что постарее попытаться запустить, то мат на ровном месте без причины будет обеспечен. Так, в примере, до зловредов даже не дошли.

ps: Справедливости ради, в любых исходниках, в том числе на Си и подобных языках, скачанном из всяких Гитхабов, и подобных, злонамеренный функционал встречается, и не представляет что то редкое, из рада вон выходящее.
Только из репозиториев библиотек оно распространяется сильно быстрее.

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

12. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (12), 24-Ноя-23, 18:38 
А в SD он используется? Этот ПаПай
Ответить | Правка | Наверх | Cообщить модератору

34. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (34), 25-Ноя-23, 02:29 
ServiceDesk?
Ответить | Правка | Наверх | Cообщить модератору

62. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  –1 +/
Сообщение от Аноним (62), 25-Ноя-23, 14:52 
Стандартное отклонение — от англ. standard deviation.
Ответить | Правка | Наверх | Cообщить модератору

64. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (34), 25-Ноя-23, 15:43 
Обычно это пишут в нижнем регистре.
Ответить | Правка | Наверх | Cообщить модератору

78. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (78), 25-Ноя-23, 23:34 
Stable Diffusion
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

13. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +1 +/
Сообщение от Аноним (13), 24-Ноя-23, 19:01 
пакетная база большая... из них больше половины явно мусорное. кем это фильтруется - не понятно
Ответить | Правка | Наверх | Cообщить модератору

20. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +2 +/
Сообщение от анон (?), 24-Ноя-23, 19:41 
pypi и npmjs сборники мусора который нельзя удалять. там полно (никому не) нужных пакетов
Ответить | Правка | Наверх | Cообщить модератору

42. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +1 +/
Сообщение от 11111001010 (?), 25-Ноя-23, 08:40 
Хорошо, что в Golang такого нет!
Ответить | Правка | Наверх | Cообщить модератору

46. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (46), 25-Ноя-23, 09:44 
> npmjs сборники мусора который нельзя удалять

Помещаешь пакет как уязвимый, и когда останется меньше 100 пользователей - удаляешь.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

79. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +1 +/
Сообщение от Tron is Whistling (?), 25-Ноя-23, 23:53 
> когда останется меньше 100

Никогда. Как висело зависимостью в 1000 не менее брошенных пакетов, так и будет висеть.


Ответить | Правка | Наверх | Cообщить модератору

83. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (46), 26-Ноя-23, 06:10 
Ну, да, мусорные пакеты, которые никто не поддерживает и вряд ли кто-то использует так и будут в зависимостях. Но тебе-то какое дело? Ими никто не пользуется.
Ответить | Правка | Наверх | Cообщить модератору

90. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Tron is Whistling (?), 26-Ноя-23, 11:38 
Кто сказал, что в хламореповнике ими никто не пользуется?
Там ещё 100500 чуть менее брошенных зависимостей, которым лень обновлять хлам.
В итоге все тянут этот залежалый хлам с дырами и в ус не дуют.
В этом и проблема автоматизированных хламовников.
Ответить | Правка | Наверх | Cообщить модератору

14. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +1 +/
Сообщение от kl0p (?), 24-Ноя-23, 19:05 
Если посмотреть на код, который загружают скрипты, то станет понятно, что это для Windows систем и создания ботнетов, можете узбагоится красноглазики.
Ответить | Правка | Наверх | Cообщить модератору

16. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  –1 +/
Сообщение от Аноним (13), 24-Ноя-23, 19:20 
генерируется мусор а виндузятникам пофигу обычно что там крутится
Ответить | Правка | Наверх | Cообщить модератору

45. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от нах. (?), 25-Ноя-23, 09:42 
ну не нужен пока никому неуловимый джо. Майнинг снова вышел из моды а больше ни для чего подкроватные серверы вообще не годны.

Падаждтити, придумают и для них какую-нибудь вредную деятельность, вон токенов для AI понатырили, пусть он и придумает. Тогда и на крacноглазой улице наступит щастье.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

15. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  –2 +/
Сообщение от Анонин (?), 24-Ноя-23, 19:14 
Т.е. на 5 млн пакетов нашли всего восемь вредноносных?
И... из-за чего шум тогда?
Ответить | Правка | Наверх | Cообщить модератору

18. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +2 +/
Сообщение от Аноним (18), 24-Ноя-23, 19:32 
Чукча, очевидно, не читатель
Ответить | Правка | Наверх | Cообщить модератору

60. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +1 +/
Сообщение от Аноним (60), 25-Ноя-23, 14:35 
Это перекликается со старым анекдотом:

У одного мужика все лето крали арбузы,
ему все это надоело и он поставил табличку:
"Один арбуз отравлен!"
На другой день приходит, смотрит все арбузы целые,
а рядом стоит табличка :"Теперь их два!"

Тебе приятно играть в лотерею, где выигрыш - это твой проигрыш? Ты любишь играть в русскую рулетку, пусть даже с такой маленькой вероятностью?

Обычным людям это неприятно, если они хотят просто получить хороший результат работы, а не пощекотать себе нервы, не поиграть в негативную лотерею. От того и шум.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

17. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (18), 24-Ноя-23, 19:31 
> Если учитывать только уникальные данные, без дублирования в разных релизах, число выявленных утечек составило 3938, а число проектов, в которых присутствует хотя бы одна утечка - 2922.

Причина потерять веру в нечто, похожее на IT. А, Python?.. Тормозящая туфта. Поделом

P.S. Отдельная благодарность автору статьи. Стиль почти безупречен!

Ответить | Правка | Наверх | Cообщить модератору

22. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +7 +/
Сообщение от пох. (?), 24-Ноя-23, 19:47 
ну зачем ты так вот сразу-то?

Интегрированный в пакеты вредоносный код был специфичен для платформы Windows и позволял подключаться к внешнему управляющему серверу, запускать произвольные команды на компьютере разработчика, находить и отправлять на внешний сервер конфиденциальную информацию, такую как ключи доступа, а также передавать произвольные файлы с системы. Кроме того, вредоносный код мог выполнять функции кейлоггера, перехватывать вводимые в Chrome пароли, создавать скриншоты, записывать звук и даже управлять web-камерой.

на питоне же ж! (скорее всего, конечно, нихрена, и либу притащили бинарную, но обертка-то точно ж на питоне)

Тут тебе и удаленное управление, и security audit, и даже вебкам стриминг - и все в одном пакете!
Попробовал бы вот ты так на своем хваленом си!


Ответить | Правка | Наверх | Cообщить модератору

53. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (53), 25-Ноя-23, 11:12 
Понятно, что Python убог, но списывать на «либы» всё — такое себе. Новость не о том, не,
Ответить | Правка | Наверх | Cообщить модератору

82. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Neon (??), 26-Ноя-23, 02:29 
Ничего особо не мешает сделать похожее и под линукс
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

95. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от нах. (?), 26-Ноя-23, 11:50 
трудозатраты мешают. Там выше уже писалось же - майнинг снова вышел из моды, на подкроватных серверах местных специалистов ничего уже не намайнишь, а больше толку от них нет.

Поэтому неуловимый джо никому снова и не сдался, а не потому что что-то мешало.

Ответить | Правка | Наверх | Cообщить модератору

28. Скрыто модератором  +/
Сообщение от Аноним (-), 24-Ноя-23, 21:06 
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

27. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Tron is Whistling (?), 24-Ноя-23, 20:58 
Хламокодинг всегда был и будет хламокодингом, пора уже привыкнуть.
Ответить | Правка | Наверх | Cообщить модератору

30. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +1 +/
Сообщение от нах. (?), 24-Ноя-23, 22:46 
Бечь-то куды, куды бечь скажите?!

Рейс на Марс видимо отменяется - там опять будет управление на ведроиде, пусть этот X сам на таком летит.

Куды деваться-то?!

Ответить | Правка | Наверх | Cообщить модератору

31. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Tron is Whistling (?), 24-Ноя-23, 22:48 
Куды бечь - скрыто в никнейме. Не моём. Именно туда, подальше от хламокодинга.
Ответить | Правка | Наверх | Cообщить модератору

43. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +1 +/
Сообщение от нах. (?), 25-Ноя-23, 09:38 
Уныло глядит на требования к водителю автобуса в одной не вконец еще е6анувшейся стране: "а поводи-ка ты легковушку - не по методу 'права отлежались', а покажи-ка справку из страховой о полной безаварийности - лет этак за пять. Потом профессиональный медосмотр, и, если пройдешь... можешь поучиться у нас - всего-то где-то 300000 ржубликов примерно, пол-годика. А там и экзамен. В процессе только язык подтяни чуток - нет, нам совсем не A1 надо, давай хотя бы B2"

Вздыхает, уходит учить питон.

На свой ресторанчик с пиццей-на-вынос, увы, не накопил.

Ответить | Правка | Наверх | Cообщить модератору

51. Скрыто модератором  +/
Сообщение от Аноним (51), 25-Ноя-23, 10:46 
Ответить | Правка | Наверх | Cообщить модератору

56. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (53), 25-Ноя-23, 11:23 
К здравомыслию, не?
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

32. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  –1 +/
Сообщение от Аноним (32), 24-Ноя-23, 23:24 
Чем больше синтаксического сахара в яп, тем больше проблем и узких мест))))
Ответить | Правка | Наверх | Cообщить модератору

36. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +1 +/
Сообщение от Аноним (34), 25-Ноя-23, 03:23 
Как известно, C - это ассемблер, щедро политый сахарным сиропом.
Ответить | Правка | Наверх | Cообщить модератору

57. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (53), 25-Ноя-23, 11:24 
Нет
Ответить | Правка | Наверх | Cообщить модератору

71. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (71), 25-Ноя-23, 17:35 
Тут приходится выбиоать: либо ничем не политый и софта на нём 3.5 штуки, либо достаточно политый и софта на нём достаточно.
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

33. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от x3who (?), 24-Ноя-23, 23:58 
Вендузятников-любителей обфускации не жалко, зря они заложили pyobf-пакеты.
Ответить | Правка | Наверх | Cообщить модератору

35. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (35), 25-Ноя-23, 02:56 
Не иначе через зависимости зловреды устанавливаются. Когда глубина зависимостей большая, им есть где разгуляться.
Ответить | Правка | Наверх | Cообщить модератору

39. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (39), 25-Ноя-23, 04:05 
Предполагаю, что через какое-то время демократия закончиться и кто-то начнет думать о том как нести за всю эту помойку ответственность.

Какие возможны варианты:

1) Собирать взнос с разработчиков на проведение ревью кода и обратную связь от сторожил репозиториев и экспертов. Будет как у Apple размещение кода стоить скажем $100, а как следствие проблемы с оплатой и шум относительно закрытой платформы.

2) Предоставлять доступ только юр. лицам, но тут еще сложнее, так как непонятно как проверить трансграничные компании. Программный продукт компании в Австралии в репозитории Великобритании. Нужно создавать международное авторское право и развивать этот вопрос.

3) Предоставить сообществу так же голосовать и ревьюить код репозиториев и на основе суммарного мнения составлять какие-то суждения.

В любом случае демократии в репозиториях кажется начинает наступать переломный момент когда нечистые на руку люди начинают публиковать зловердный код.

Сегодня нам нужено признать, что кроме программистов фанатиков, компаний заинтересованных в рекламе появился еще один класс программистов (хотя вероятно он и раньше всегда был) этаких вредителей делающих разные пакости.

Ответить | Правка | Наверх | Cообщить модератору

48. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Tron is Whistling (?), 25-Ноя-23, 10:02 
Зачем? Так оно копейки стоит, а это в этот хлам вкладываться придётся.
Собственно на этом месте хламокодинг обычно и умирает вместе с езычком. Их не один уже был.
Ответить | Правка | Наверх | Cообщить модератору

49. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +1 +/
Сообщение от nox. (?), 25-Ноя-23, 10:31 
> Сегодня нам нужено признать, что кроме программистов фанатиков, компаний заинтересованных в рекламе появился еще один класс программистов (хотя вероятно он и раньше всегда был) этаких вредителей делающих разные пакости.

К какому классу отнести компании, пихающие телеметрию и бэкдоры в бинарники средств разработки с целью их подстановки во все генерируемые с их помощью проекты?

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

75. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +1 +/
Сообщение от Вы забыли заполнить поле Name (?), 25-Ноя-23, 19:04 
> В любом случае демократии в репозиториях кажется начинает наступать переломный момент когда нечистые на руку люди начинают публиковать зловердный код.

Так всегда было. Это извечная борьба. Если ты не закроешь дверь, то найдётся кто-то кто тебя обворует в любом обществе.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

102. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (102), 27-Ноя-23, 12:20 
> В любом случае демократии в репозиториях кажется начинает наступать переломный момент когда нечистые на руку люди начинают публиковать зловердный код.

Зачем вы ляпаете слова, смысл которых не знаете? Когда любой можно опубликовать что угодно - это не имеет никакого отношения к демократии. Никакого коллективного принятия решений и равного воздействия участников на результат тут нет. Собственно, тут скорее квази-анархия (квази - потому что власть там на самом деле есть, просто она преимущественно самоустранилась от принятия таких решений, про которые идёт речь).

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

40. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  –1 +/
Сообщение от Аноним (40), 25-Ноя-23, 04:47 
никогда не понимал, зачем это, когда есть пакетный менеджер ОС
Ответить | Правка | Наверх | Cообщить модератору

41. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (41), 25-Ноя-23, 06:01 
Ось может любой создать, даже я свой дистриб собираю. Пакетный менеджер должен быть как альтернатива, а не как основной инструмент. Проблема в том что зависимостей ну очень много.
Ответить | Правка | Наверх | Cообщить модератору

47. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (40), 25-Ноя-23, 09:58 
эээ. изначальный набор слов я вообще не понял, к чему. последний бред тоже не понял: пакетный менеджер как раз и нужен для работы с кучей зависимостей
Ответить | Правка | Наверх | Cообщить модератору

55. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 25-Ноя-23, 11:21 
Для распространения софта. У других могут быть другие дистрибутивы или операционные системы, а разработчики не будут собирать под все существующи плтаформы. Ты скажешь, что это задача дистров? Но как быть проектам, которые разрабатываются скажем не на деб пакетах, а ты хочешь поставить его себе? Про это проект меинтейнеры даже краем уха не слыашли. И вот тебе вместо того, чтобы сделать pip install -r requrements.txt (лучше poetry install) придется самому выискивать пакеты своего дистра (а зачастую даже собирать) нужные версии всех зависимостей. Поверь мне, ты это не хочешь.

Есть еще одно решение это проблемы - собирать все статически в бинарь. Так поступает go и много софта на С++, которые тащат все зависимоти в репе.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

58. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Tron is Whistling (?), 25-Ноя-23, 11:45 
> придется самому выискивать пакеты своего дистра (а зачастую даже собирать) нужные версии всех зависимостей

Именно так и делается. Благо в мире C зависимости обычно позадачные, а не построчные типа лефтпада.

Ответить | Правка | Наверх | Cообщить модератору

73. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 25-Ноя-23, 18:53 
Не от хорошей жизни. Вот дать нормальные модули в язык, унифицированную систему сборки, так сразу будут и маленькие модули делать, пример этому cargo.
Ответить | Правка | Наверх | Cообщить модератору

76. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Tron is Whistling (?), 25-Ноя-23, 22:38 
Ну, вот что ни хипстерский шит, то обычно да, с маленькими модулями и хламокодингом.

Из исключений - жаба, но там немножко по-другому устроено.

Ответить | Правка | Наверх | Cообщить модератору

77. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  –1 +/
Сообщение от Вы забыли заполнить поле Name (?), 25-Ноя-23, 22:43 
> Ну, вот что ни хипстерский шит, то обычно да, с маленькими модулями
> и хламокодингом.

Кстати, если говорить про js, то ранее, до распространения npm и модулей commonjs и esm (последний из которых стандарт языка) библиотеки были тоже большими, например, yui или google closure, которые подключил и у тебя почти все есть. Этакие аналоги буста.

Ответить | Правка | Наверх | Cообщить модератору

50. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +2 +/
Сообщение от nox. (?), 25-Ноя-23, 10:37 
Отравили репозиторий Python? Это системная проблема. Без репозиториев, которые стали весьма опасными, как язык широкого применения, а не только скрипты на замену bash, Python не имеет смысла. Хотя ... как интерфейс к С/С++ может пригодиться. Благодаря армии программистов, поддавшихся на как бы рекламу и типа рейтинги. Хотя нужен ли интерфейс к C/C++ ... Он и сам хорош.
Ответить | Правка | Наверх | Cообщить модератору

52. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +1 +/
Сообщение от Аноним (40), 25-Ноя-23, 11:01 
приматы после просмотра двух роликов по машинному обучению считают себя спецами в неком ИИ и бегут запускать питонячьи скрипты у себя на невидии.

другие обезьянки после посмотра двух роликов по формошлёпству на джанго и считают себя программистами или даже "разработчиками" и бегут говнокодить

третьи шимпанзе после пяти лет эникеем в офисе с заменой чернил в принтерах находят другую работу и говнокодят на питоне

вот из-за этих трёх категорий людей всё так плохо, там в принципе некому программировать

Ответить | Правка | Наверх | Cообщить модератору

74. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  –1 +/
Сообщение от Вы забыли заполнить поле Name (?), 25-Ноя-23, 18:58 
Всегда так было. Просто язык популярен и это побочный эффект. До этого популярен был пхп и курсы по нему; тогда выход был приседать со штангой теории категорий или писать динамические опердени на эрланге.
Ответить | Правка | Наверх | Cообщить модератору

54. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от ptr (??), 25-Ноя-23, 11:14 
Как я понимаю, проблема заключается в том, что многие "разработчики", которые пользуются этими пакетами, не в состоянии понять их исходный код. Особенно с учётом того, что этот код, преимущественно, вовсе не на Python, а на C/C++.
Ответить | Правка | Наверх | Cообщить модератору

61. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (60), 25-Ноя-23, 14:52 
Может и в состоянии, но там по цепочке (дедка за репку, бабка за дедку, внучка за бабку,...) наверное мегабайты кода вытягиваются, замахаешься всё проверять. Подключаешь одну библиотеку, а она использует еще 10, каждая из которых еще 10...
Ответить | Правка | Наверх | Cообщить модератору

63. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +1 +/
Сообщение от ptr (??), 25-Ноя-23, 15:09 
Не утрируйте. Таких базовых библиотек, которые все тянут за собой, пару десятков. То есть, не смотря на то, что сама цепочка зависимостей одной пакета может содержать десяток пакетов, то суммарно для сотни пакетов используемых в одном проекте такие вторичные зависимости составят всего два-три десятка пакетов.
Ответить | Правка | Наверх | Cообщить модератору

91. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +1 +/
Сообщение от Tron is Whistling (?), 26-Ноя-23, 11:41 
Угу, разворачивал я одно такое поделие, ну, потребовалось - по принципу "развернул и пусть сами с ним бибикаются". По цепочке вытянулось пакетов 150. Один из которых внезапно захотел конкретную версию жабогадюки постарее...
Ответить | Правка | Наверх | Cообщить модератору

92. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Tron is Whistling (?), 26-Ноя-23, 11:42 
Короче всё это ныне сидит на отдельной виртуалке в чруте и имеет состояние поддержки "работает - не трожь" ныне.
Ответить | Правка | Наверх | Cообщить модератору

72. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  –1 +/
Сообщение от Вы забыли заполнить поле Name (?), 25-Ноя-23, 18:51 
> не в состоянии понять их исходный код

Не в желании скорее. Поставили, работает и ладно. А то, что там дичь какая-нибудь прилетает, они даже не смотрят.

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

89. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от ptr (??), 26-Ноя-23, 11:28 
Желание зависит, в том числе, и от квалификации. Разработчику с опытом кодирования на C/C++ потребуется на порядок меньше времени и усилий на аудит кода пакета, написанного на C/C++, чем разработчику не знакомого с C/C++. А так как подавляющее большинство использующих Python не знают кроме него ни одного другого языка, отсюда и последствия. При разработке на C/C++ количество библиотек и классов используется не меньше, но количество намеренной дичи в них - на порядок меньше.
Ответить | Правка | Наверх | Cообщить модератору

93. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Tron is Whistling (?), 26-Ноя-23, 11:44 
В этом плане очень удобно перехлёстываются C, C++, Java, .NET/C#, PHP и ещё несколько языков. Зная один - ты вполне прочитаешь и другой.
Ответить | Правка | Наверх | Cообщить модератору

94. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Tron is Whistling (?), 26-Ноя-23, 11:45 
А вот у езычков со своим вычурным синтаксисом (всякие пито-расты) с этим конкретная проблема, да.
Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

96. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (96), 26-Ноя-23, 15:32 
>подавляющее большинство использующих Python не знают кроме него ни одного другого языка

Чёт какие-то фантазии, не пересекающиеся с реальностью, бротышка. Или у тебя большинство -- это те, кого учили одному питону в школе? Меня вот тоже одному бейсику в школе учили, и это не значит, что я его хоть немного знаю (правда, даже клепал скрипты на вбс однажды, который никакого отношения к тому бейсику не имеет).

Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

103. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (102), 27-Ноя-23, 12:29 
Полагаю, что большинство у него - это те, кто "по курсам в интернетиках". И таки он может быть вполне себе даже прав (но нужны пруфы, конечно, которых наверняка не будет).
Ответить | Правка | Наверх | Cообщить модератору

106. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от ptr (??), 28-Ноя-23, 14:50 
Понятно, что моя выборка нерепрезентативна, но, судя по количеству задач в Jira на перенос алгоритмов, уже реализованных на Python, на C/C++ с оформлением пакета для Python, создается именно такое впечатление. Причины переноса в 99% - оптимизация с глубоким параллелизмом.
Так что в холдинге, где я работаю, подавляющее большинство программистов на Python не способны перенести свой код в C/C++.
Ответить | Правка | Наверх | Cообщить модератору

107. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 28-Ноя-23, 21:20 
> Желание зависит, в том числе, и от квалификации. Разработчику с опытом кодирования
> на C/C++ потребуется на порядок меньше времени и усилий на аудит
> кода пакета, написанного на C/C++, чем разработчику не знакомого с C/C++.
> А так как подавляющее большинство использующих Python не знают кроме него
> ни одного другого языка, отсюда и последствия. При разработке на C/C++
> количество библиотек и классов используется не меньше, но количество намеренной дичи
> в них - на порядок меньше.

Ну вот, например, какой-нибудь numpy или pandas использует овердовига людей. Вряд ли они в код заглядывают. Но ведь делают же что надо. Вообще я считаю, что у пакетов должен быть рейтинг и если в нем находят уязвимость, то рейтинг должен снижаться.

Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

99. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (99), 27-Ноя-23, 09:08 
Интересно, сколько такого же спрятано в растовском карго?
Ответить | Правка | Наверх | Cообщить модератору

104. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Аноним (102), 27-Ноя-23, 12:35 
По идее меньше:
Во-первых, самого по себе кода там меньше понаписано.
Во-вторых, код там больше в виде относительно небольших модулей (а не жирных пакетищ), которые в теории и просмотреть можно, перед заюзыванием.
В-третьих, количество "писак по курсам с ютупа" на расте заметно меньше, чем питонистов.
и т.д.
Но всё это не важно, т.к. ты тебе совершенно на саомм деле не интересно, а написал ты просто чтобы набросить на вентилятор.
Ответить | Правка | Наверх | Cообщить модератору

100. "В репозитории PyPI выявлено около 5000 оставленных в коде се..."  +/
Сообщение от Пряник (?), 27-Ноя-23, 09:59 
Они бы ещё на DepositFiles вирусы искали...
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру