forum.opennet.ru

Составление сообщения

Исходное сообщение

"46% Python-пакетов в репозитории PyPI содержат потенциально ..."
Отправлено Mikhail, 01-Авг-21 07:54

Библиотека bandit которой проводился анализ выдает очень посредственные результаты для того чтобы ей пользоваться повсеместно. Мы попытались ею воспользоваться в одном из проектов и она выявила что-то около полутора тысяч срабатываний. Мы долго разгребали результаты, но ничего существенного так и не нашли. В основном это уведомления уровня линтера или потенциальной проблеме которой нет. Есть модули на которые просто ругается по умолчанию. Например сервис gravatar просит вычислить md5 от email'а чтобы получить адрес картинки пользователя, эта либа пометит такое использование как критическое, хотя если переименовать название функции генерации хеша, то пропустит.
Реальных проблем с безопасностью мы от библиотеки bandit не получили, весь максимум полезности нам дал pylint. Поэтому мне удивительно видеть такой желтушный заголовок на сайте для специалистов. Более подходящее название было бы "исследователи нашли множество ложно положительных срабатываний в библиотеках pypi". К безопасности эта новость отношения не имеет.

Исходное сообщение
"46% Python-пакетов в репозитории PyPI содержат потенциально ..." Отправлено Mikhail, 01-Авг-21 07:54
Библиотека bandit которой проводился анализ выдает очень посредственные результаты для того чтобы ей пользоваться повсеместно. Мы попытались ею воспользоваться в одном из проектов и она выявила что-то около полутора тысяч срабатываний. Мы долго разгребали результаты, но ничего существенного так и не нашли. В основном это уведомления уровня линтера или потенциальной проблеме которой нет. Есть модули на которые просто ругается по умолчанию. Например сервис gravatar просит вычислить md5 от email'а чтобы получить адрес картинки пользователя, эта либа пометит такое использование как критическое, хотя если переименовать название функции генерации хеша, то пропустит. Реальных проблем с безопасностью мы от библиотеки bandit не получили, весь максимум полезности нам дал pylint. Поэтому мне удивительно видеть такой желтушный заголовок на сайте для специалистов. Более подходящее название было бы "исследователи нашли множество ложно положительных срабатываний в библиотеках pypi". К безопасности эта новость отношения не имеет.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Библиотека bandit которой проводился анализ выдает очень посредственные результаты для > того чтобы ей пользоваться повсеместно. Мы попытались ею воспользоваться в одном > из проектов и она выявила что-то около полутора тысяч срабатываний. Мы > долго разгребали результаты, но ничего существенного так и не нашли. В > основном это уведомления уровня линтера или потенциальной проблеме которой нет. Есть > модули на которые просто ругается по умолчанию. Например сервис gravatar просит > вычислить md5 от email'а чтобы получить адрес картинки пользователя, эта либа > пометит такое использование как критическое, хотя если переименовать название функции > генерации хеша, то пропустит. > Реальных проблем с безопасностью мы от библиотеки bandit не получили, весь максимум > полезности нам дал pylint. Поэтому мне удивительно видеть такой желтушный заголовок > на сайте для специалистов. Более подходящее название было бы "исследователи нашли > множество ложно положительных срабатываний в библиотеках pypi". К безопасности эта новость > отношения не имеет.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру