|
| 1.2, Стас Михайлов (?), 09:45, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
никогда не было и вот опять ©
Зевнул.
Уже даже не смешно.
Норма для ноды, руби и прочих растов с композерами.
Забавно смотреть как поступи ничего из себя не представляющие обитатели местного зоопарка хейтят платформу столь сильно оказывающую влияние на развитие индустриии. Уязвимость даже не в самой платформе а в пакете, пакетный менеджер работает аналогично всем остальным в других платформах. Но нет, побомбить то принято именно с PyPi. В святом расте то такое уж точно недопустимо.
| | |
| |
| 2.10, QwertyReg (ok), 11:29, 13/10/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Удивительно! В популярнейших репозиториях находят вредоносные пакеты! Как такое может быть?
И да, раз находят и удаляют, значит, всё хорошо. Плохо, если не находят и не удаляют, как в популярнейшем магазине приложений для Linux на смартфонах.
| | |
| |
| 3.15, Anonymous XE (?), 12:54, 13/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
>магазине приложений для Linux на смартфонах
Такой вообще существует? Android не Linux, если что.
| | |
| |
| 4.16, QwertyReg (ok), 12:57, 13/10/2021 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Такой вообще существует? Android не Linux, если что.
Ой, да бросьте. Когда надо булькнуть про "Linux - самая распространённая в мире ОС", то Android тут же становится дистрибутивом Линукса.
Линуксом он резко перестаёт быть, когда приходит понимание, сколько дыр, вирусни и тормозов в этом дистрибутиве.
| | |
| |
| 5.17, Аноним (17), 13:02, 13/10/2021 [^] [^^] [^^^] [ответить]
| –3 +/– |
Линукс самая распространённая ОС без андроида, можете фантазировать что угодно. Хромос это линукс в принципе, андроид уже не очень.
| | |
| |
| 6.19, Аноним (-), 13:14, 13/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Линукс самая распространённая ОС без андроида, можете фантазировать что угодно.
Пруфцы давай, нефантазер ты наш опеннетный.
| | |
|
| |
| 6.34, QwertyReg (ok), 08:31, 14/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Linux это ядро, а не ОС и да, оно самое распространённое.
Это плохой аргумент.
| | |
|
|
|
|
| 2.25, gogo (?), 18:54, 13/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> пакетный менеджер работает аналогично всем остальным в других платформах.
если вы имеете ввиду npm и т.п. - то да.
но вы сможете совершить подобный трюк с CentOS, например.
так что ваша новомодное понятие нормы для пакетных менеджеров и есть уязвимость. в мозгах.
| | |
| |
| 3.26, gogo (?), 18:55, 13/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
после "например" следует читать знак вопроса вместо точки )
| | |
|
|
| 1.4, Аноним (17), 09:55, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Когда устанавливаю из него блобы с 10 пользователями, успокаиваю себя тем, что их разработчик уже год-два ведёт проект, и страраюсь верить в то, что если все ссылки на китайский клон гитхаба отвалились, это совершенно нормально. Но всё-таки бинарные пакеты немного страшновато. Хорошо, когда собирается из исходников или вообще без блобов идёт. К сожалению это часто невозможно, нужны и gcc старых версий, и rust неопределённых версий и различные бинарные библиотеки из ещё более стрёмных проектов, которые приходится собирать отдельно.
| | |
| 1.7, Аноним12345 (?), 10:50, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Какая жесть
А ведь это раздольное поле
Существуют тысячи питоновских пакетов, и любой может быть подвержен такой атаке
Если майнтэйнеры спят, то пиши пропало ...
| | |
| |
| 2.8, Аноним12345 (?), 10:53, 13/10/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
С другой стороны, каков процент устанавливаемых пакетов с Pypi ?
Я имею ввиду, что каждый дистрибутив имеет свою собственную проверенную базу пакетов,
которую мы получаем при установке дистрибутива
И внедриться туда на порядок сложнее
| | |
| |
| 3.11, Роман (??), 11:55, 13/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
 Once we have our requirements.txt file inside the image, we can use the RUN command to execute the command pip3 install. This works exactly the same as if we were running pip3 install locally on our machine, but this time the modules are installed into the image.
RUN pip3 install -r requirements.txt
это из официального гайда по докеру. Сколько докер образов используется в мире, можете сами прикинуть.
Из пакетов ставят олдфаги, все остальные ставят сразу в докер.
| | |
| |
| 4.13, Аноним (13), 12:03, 13/10/2021 [^] [^^] [^^^] [ответить]
| –3 +/– |
Внимание вопрос, а что тогда ставится в докер этой командой, если не пакеты?
| | |
|
|
| 2.9, Аноним (17), 10:58, 13/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ещё бывает что оригинальный проект не обновлялся пару лет. И все ссылки на почивший гулогхостинг ведут. Это реальная проблема, приходится очень внимательно проверять, что устанавливаешь. И сравнивать изменения форка. Иногда проще уже написать свой наколенный вариант. Ужасные люди такие вещи с подменой имени делают, как их земля только носит.
| | |
| |
| 3.23, YetAnotherOnanym (ok), 16:18, 13/10/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > приходится очень внимательно проверять, что устанавливаешь
А почему разработчик не может проверить одну версию зависимости, в которой есть весь необходимый функционал, и дальше прибить её гвоздями через хэш в конфиге установщика?
| | |
| |
| 4.24, Аноним (17), 16:30, 13/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Потому что в протухших версиях баги, проблема даже не в фунциональности зачастую.
| | |
| |
| |
| 6.28, Аноним (17), 19:30, 13/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Очень многие проекты обновляются только когда приходится исправлять проблемы. Часто для этого делают форк потому что оригинальный автор nowhere to be found.
| | |
| |
| 7.32, YetAnotherOnanym (ok), 01:14, 14/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Очень многие проекты обновляются только когда приходится исправлять проблемы. Часто для
> этого делают форк потому что оригинальный автор nowhere to be found.
Ну, ок, пофиксили обнаруженный баг, проверили новую версию либы на корректность работы в нашей аппликухе и снова прибили гвоздями проверенную версию в конфиге инсталлера.
| | |
|
|
|
| 4.33, Онаним (?), 07:24, 14/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Потому что там crowd coding.
Миллионы мух пытаются собрать из говна и палок собственные проекты.
| | |
|
|
| 2.31, Аноним (30), 00:43, 14/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Какая жесть
А ведь это раздольное поле
Существуют миллионы хостов в интернете и любой может быть контролируемым мошенниками
Если голову не включать, то пиши пропало ...
| | |
|
| 1.12, _kp (ok), 11:56, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Вообще такой "вредоносный" код обычное дело при отладке с нескольких разных машин.
Автору достаточно было задокументировать это.
| | |
| 1.21, Аноним (21), 15:51, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe
Это не все вредоносные. Там по сути всё вредительство.
| | |
| 1.22, Аноним (22), 16:11, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Происки злых пыхарей, не иначе!
Баттхертят, что пистончик самый популярный и не дырявый практически. В отличии от... Дыр найти не осилили, так диверсию устроили. Это так... по пхпшному.
| | |
| |
| 2.35, Аноним (35), 09:31, 14/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Питону никогда не стать столь же распространённым по количеству внедрений как php. Не востребован. Люди хотят готовые решения типа Wordpress, а на питоне их нет. Да и производительность у питона никакая по сравнению с php.
| | |
|
| 1.29, Hck3r (?), 21:36, 13/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Он один из авторов. Вообще оригинальную версию выложил Aldo Cortesi
Потом уже там целое коммьюнити вокруг этого пакета образавалось
| | |
| 1.36, Ракамакафон Генкбенков (?), 11:04, 14/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Не ну а чо, переиминуй зафаршмаченную вирьём сборку винды от толяна на "ШИНДОВС-12 нью спешал эдишан", слей это г-но на торрент и афигеешь сколько модников качнет этат скам. Тут так-же, основы С_И же чо..
| | |
|
