forum.opennet.ru - "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe" (33)

"Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe"	+/–
Сообщение от opennews (?), 13-Окт-21, 09:43
Автор mitmproxy, инструмента для анализа трафика HTTP/HTTPS, обратил внимание на появление в каталоге Python-пакетов PyPI (Python Package Index) форка своего проекта. Форк распространялся под похожим именем mitmproxy2 и несуществующей версией 8.0.1 (актуальный выпуск mitmproxy 7.0.4) с расчётом на то, что невнимательные пользователи воспримут пакет как новую редакцию основного проекта (тайпсквоттинг) и пожелают опробовать новую версию... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55961
Ответить \| Правка \| Cообщить модератору

Оглавление

тёмная сторона форков, ET (?), 09:43 , 13-Окт-21, (1) +8
никогда не было и вот опять Зевнул Уже даже не смешно Норма для ноды, руби и п, Стас Михайлов (?), 09:45 , 13-Окт-21, (2) +2

Удивительно В популярнейших репозиториях находят вредоносные пакеты Как такое , QwertyReg (ok), 11:29 , 13-Окт-21, (10) –2

Такой вообще существует Android не Linux, если что , Anonymous XE (?), 12:54 , 13-Окт-21, (15)

Ой, да бросьте Когда надо булькнуть про Linux - самая распространённая в мире , QwertyReg (ok), 12:57 , 13-Окт-21, (16) +2

Линукс самая распространённая ОС без андроида, можете фантазировать что угодно , Аноним (17), 13:02 , 13-Окт-21, (17) –3

Пруфцы давай, нефантазер ты наш опеннетный , Аноним (-), 13:14 , 13-Окт-21, (19) +1

Linux это ядро, а не ОС и да, оно самое распространённое , Аноним (30), 00:40 , 14-Окт-21, (30) –2

Это плохой аргумент , QwertyReg (ok), 08:31 , 14-Окт-21, (34)

если вы имеете ввиду npm и т п - то да но вы сможете совершить подобный трюк с , gogo (?), 18:54 , 13-Окт-21, (25)

после например следует читать знак вопроса вместо точки , gogo (?), 18:55 , 13-Окт-21, (26)

так они не догонят nodejs, Аноним (-), 09:46 , 13-Окт-21, (3) +4
Когда устанавливаю из него блобы с 10 пользователями, успокаиваю себя тем, что и, Аноним (17), 09:55 , 13-Окт-21, (4) –3
Какая жестьА ведь это раздольное полеСуществуют тысячи питоновских пакетов, и лю, Аноним12345 (?), 10:50 , 13-Окт-21, (7) –2

С другой стороны, каков процент устанавливаемых пакетов с Pypi Я имею ввиду, чт, Аноним12345 (?), 10:53 , 13-Окт-21, (8) –1

Once we have our requirements txt file inside the image, we can use the RUN comm, Роман (??), 11:55 , 13-Окт-21, (11)

Внимание вопрос, а что тогда ставится в докер этой командой, если не пакеты , Аноним (13), 12:03 , 13-Окт-21, (13) –3

А ты забавный, pashev.me (?), 12:52 , 13-Окт-21, (14) –2

Ещё бывает что оригинальный проект не обновлялся пару лет И все ссылки на почив, Аноним (17), 10:58 , 13-Окт-21, (9) +1

А почему разработчик не может проверить одну версию зависимости, в которой есть , YetAnotherOnanym (ok), 16:18 , 13-Окт-21, (23) –1

Потому что в протухших версиях баги, проблема даже не в фунциональности зачастую, Аноним (17), 16:30 , 13-Окт-21, (24) +1

А в свеженьких , YetAnotherOnanym (ok), 19:24 , 13-Окт-21, (27)

Очень многие проекты обновляются только когда приходится исправлять проблемы Ча, Аноним (17), 19:30 , 13-Окт-21, (28)

Ну, ок, пофиксили обнаруженный баг, проверили новую версию либы на корректность , YetAnotherOnanym (ok), 01:14 , 14-Окт-21, (32)

Потому что там crowd coding Миллионы мух пытаются собрать из говна и палок собст, Онаним (?), 07:24 , 14-Окт-21, (33)

Какая жестьА ведь это раздольное полеСуществуют миллионы хостов в интернете и лю, Аноним (30), 00:43 , 14-Окт-21, (31)

Вообще такой вредоносный код обычное дело при отладке с нескольких разных маши, _kp (ok), 11:56 , 13-Окт-21, (12)
Вполне ожидаемо Не npmом единым , Аноним (20), 13:21 , 13-Окт-21, (20) +1
Это не все вредоносные Там по сути всё вредительство , Аноним (21), 15:51 , 13-Окт-21, (21)
Происки злых пыхарей, не иначе Баттхертят, что пистончик самый популярный и не д, Аноним (22), 16:11 , 13-Окт-21, (22)

Питону никогда не стать столь же распространённым по количеству внедрений как ph, Аноним (35), 09:31 , 14-Окт-21, (35)

Он один из авторов Вообще оригинальную версию выложил Aldo CortesiПотом уже там, Hck3r (?), 21:36 , 13-Окт-21, (29)
Не ну а чо, переиминуй зафаршмаченную вирьём сборку винды от толяна на ШИНДОВС-, Ракамакафон Генкбенков (?), 11:04 , 14-Окт-21, (36)

Сообщения [Сортировка по времени | RSS]

1. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +8 +/–

Сообщение от ET (?), 13-Окт-21, 09:43

тёмная сторона форков

Ответить | Правка | Наверх | Cообщить модератору

2. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +2 +/–

Сообщение от Стас Михайлов (?), 13-Окт-21, 09:45

никогда не было и вот опять ©
Зевнул.
Уже даже не смешно.
Норма для ноды, руби и прочих растов с композерами.
Забавно смотреть как поступи ничего из себя не представляющие обитатели местного зоопарка хейтят платформу столь сильно оказывающую влияние на развитие индустриии. Уязвимость даже не в самой платформе а в пакете, пакетный менеджер работает аналогично всем остальным в других платформах. Но нет, побомбить то принято именно с PyPi. В святом расте то такое уж точно недопустимо.

Ответить | Правка | Наверх | Cообщить модератору

10. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." –2 +/–

Сообщение от QwertyReg (ok), 13-Окт-21, 11:29

Удивительно! В популярнейших репозиториях находят вредоносные пакеты! Как такое может быть?
И да, раз находят и удаляют, значит, всё хорошо. Плохо, если не находят и не удаляют, как в популярнейшем магазине приложений для Linux на смартфонах.

Ответить | Правка | Наверх | Cообщить модератору

15. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +/–

Сообщение от Anonymous XE (?), 13-Окт-21, 12:54

>магазине приложений для Linux на смартфонах
Такой вообще существует? Android не Linux, если что.

Ответить | Правка | Наверх | Cообщить модератору

16. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +2 +/–

Сообщение от QwertyReg (ok), 13-Окт-21, 12:57

> Такой вообще существует? Android не Linux, если что.
Ой, да бросьте. Когда надо булькнуть про "Linux - самая распространённая в мире ОС", то Android тут же становится дистрибутивом Линукса.
Линуксом он резко перестаёт быть, когда приходит понимание, сколько дыр, вирусни и тормозов в этом дистрибутиве.

Ответить | Правка | Наверх | Cообщить модератору

17. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." –3 +/–

Сообщение от Аноним (17), 13-Окт-21, 13:02

Линукс самая распространённая ОС без андроида, можете фантазировать что угодно. Хромос это линукс в принципе, андроид уже не очень.

Ответить | Правка | Наверх | Cообщить модератору

19. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +1 +/–

Сообщение от Аноним (-), 13-Окт-21, 13:14

> Линукс самая распространённая ОС без андроида, можете фантазировать что угодно.
Пруфцы давай, нефантазер ты наш опеннетный.

Ответить | Правка | Наверх | Cообщить модератору

30. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." –2 +/–

Сообщение от Аноним (30), 14-Окт-21, 00:40

Linux это ядро, а не ОС и да, оно самое распространённое.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

34. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +/–

Сообщение от QwertyReg (ok), 14-Окт-21, 08:31

> Linux это ядро, а не ОС и да, оно самое распространённое.
Это плохой аргумент.

Ответить | Правка | Наверх | Cообщить модератору

25. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +/–

Сообщение от gogo (?), 13-Окт-21, 18:54

> пакетный менеджер работает аналогично всем остальным в других платформах.
если вы имеете ввиду npm и т.п. - то да.
но вы сможете совершить подобный трюк с CentOS, например.
так что ваша новомодное понятие нормы для пакетных менеджеров и есть уязвимость. в мозгах.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

26. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +/–

Сообщение от gogo (?), 13-Окт-21, 18:55

после "например" следует читать знак вопроса вместо точки )

Ответить | Правка | Наверх | Cообщить модератору

3. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +4 +/–

Сообщение от Аноним (-), 13-Окт-21, 09:46

так они не догонят nodejs

Ответить | Правка | Наверх | Cообщить модератору

4. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." –3 +/–

Сообщение от Аноним (17), 13-Окт-21, 09:55

Когда устанавливаю из него блобы с 10 пользователями, успокаиваю себя тем, что их разработчик уже год-два ведёт проект, и страраюсь верить в то, что если все ссылки на китайский клон гитхаба отвалились, это совершенно нормально. Но всё-таки бинарные пакеты немного страшновато. Хорошо, когда собирается из исходников или вообще без блобов идёт. К сожалению это часто невозможно, нужны и gcc старых версий, и rust неопределённых версий и различные бинарные библиотеки из ещё более стрёмных проектов, которые приходится собирать отдельно.

Ответить | Правка | Наверх | Cообщить модератору

7. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." –2 +/–

Сообщение от Аноним12345 (?), 13-Окт-21, 10:50

Какая жесть
А ведь это раздольное поле
Существуют тысячи питоновских пакетов, и любой может быть подвержен такой атаке
Если майнтэйнеры спят, то пиши пропало ...

Ответить | Правка | Наверх | Cообщить модератору

8. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." –1 +/–

Сообщение от Аноним12345 (?), 13-Окт-21, 10:53

С другой стороны, каков процент устанавливаемых пакетов с Pypi ?
Я имею ввиду, что каждый дистрибутив имеет свою собственную проверенную базу пакетов,
которую мы получаем при установке дистрибутива
И внедриться туда на порядок сложнее

Ответить | Правка | Наверх | Cообщить модератору

11. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +/–

Сообщение от Роман (??), 13-Окт-21, 11:55

Once we have our requirements.txt file inside the image, we can use the RUN command to execute the command pip3 install. This works exactly the same as if we were running pip3 install locally on our machine, but this time the modules are installed into the image.
RUN pip3 install -r requirements.txt

это из официального гайда по докеру. Сколько докер образов используется в мире, можете сами прикинуть.
Из пакетов ставят олдфаги, все остальные ставят сразу в докер.

Ответить | Правка | Наверх | Cообщить модератору

13. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." –3 +/–

Сообщение от Аноним (13), 13-Окт-21, 12:03

Внимание вопрос, а что тогда ставится в докер этой командой, если не пакеты?

Ответить | Правка | Наверх | Cообщить модератору

14. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." –2 +/–

Сообщение от pashev.me (?), 13-Окт-21, 12:52

А ты забавный

Ответить | Правка | Наверх | Cообщить модератору

9. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +1 +/–

Сообщение от Аноним (17), 13-Окт-21, 10:58

Ещё бывает что оригинальный проект не обновлялся пару лет. И все ссылки на почивший гулогхостинг ведут. Это реальная проблема, приходится очень внимательно проверять, что устанавливаешь. И сравнивать изменения форка. Иногда проще уже написать свой наколенный вариант. Ужасные люди такие вещи с подменой имени делают, как их земля только носит.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

23. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." –1 +/–

Сообщение от YetAnotherOnanym (ok), 13-Окт-21, 16:18

> приходится очень внимательно проверять, что устанавливаешь
А почему разработчик не может проверить одну версию зависимости, в которой есть весь необходимый функционал, и дальше прибить её гвоздями через хэш в конфиге установщика?

Ответить | Правка | Наверх | Cообщить модератору

24. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +1 +/–

Сообщение от Аноним (17), 13-Окт-21, 16:30

Потому что в протухших версиях баги, проблема даже не в фунциональности зачастую.

Ответить | Правка | Наверх | Cообщить модератору

27. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +/–

Сообщение от YetAnotherOnanym (ok), 13-Окт-21, 19:24

А в свеженьких?

Ответить | Правка | Наверх | Cообщить модератору

28. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +/–

Сообщение от Аноним (17), 13-Окт-21, 19:30

Очень многие проекты обновляются только когда приходится исправлять проблемы. Часто для этого делают форк потому что оригинальный автор nowhere to be found.

Ответить | Правка | Наверх | Cообщить модератору

32. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +/–

Сообщение от YetAnotherOnanym (ok), 14-Окт-21, 01:14

> Очень многие проекты обновляются только когда приходится исправлять проблемы. Часто для
> этого делают форк потому что оригинальный автор nowhere to be found.
Ну, ок, пофиксили обнаруженный баг, проверили новую версию либы на корректность работы в нашей аппликухе и снова прибили гвоздями проверенную версию в конфиге инсталлера.

Ответить | Правка | Наверх | Cообщить модератору

33. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +/–

Сообщение от Онаним (?), 14-Окт-21, 07:24

Потому что там crowd coding.
Миллионы мух пытаются собрать из говна и палок собственные проекты.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

31. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +/–

Сообщение от Аноним (30), 14-Окт-21, 00:43

Какая жесть
А ведь это раздольное поле
Существуют миллионы хостов в интернете и любой может быть контролируемым мошенниками
Если голову не включать, то пиши пропало ...

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

12. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +/–

Сообщение от _kp (ok), 13-Окт-21, 11:56

Вообще такой "вредоносный" код обычное дело при отладке с нескольких разных машин.
Автору достаточно было задокументировать это.

Ответить | Правка | Наверх | Cообщить модератору

20. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +1 +/–

Сообщение от Аноним (20), 13-Окт-21, 13:21

Вполне ожидаемо. Не npmом единым.

Ответить | Правка | Наверх | Cообщить модератору

21. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +/–

Сообщение от Аноним (21), 13-Окт-21, 15:51

> Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe
Это не все вредоносные. Там по сути всё вредительство.

Ответить | Правка | Наверх | Cообщить модератору

22. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +/–

Сообщение от Аноним (22), 13-Окт-21, 16:11

Происки злых пыхарей, не иначе!
Баттхертят, что пистончик самый популярный и не дырявый практически. В отличии от... Дыр найти не осилили, так диверсию устроили. Это так... по пхпшному.

Ответить | Правка | Наверх | Cообщить модератору

35. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +/–

Сообщение от Аноним (35), 14-Окт-21, 09:31

Питону никогда не стать столь же распространённым по количеству внедрений как php. Не востребован. Люди хотят готовые решения типа Wordpress, а на питоне их нет. Да и производительность у питона никакая по сравнению с php.

Ответить | Правка | Наверх | Cообщить модератору

29. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +/–

Сообщение от Hck3r (?), 13-Окт-21, 21:36

Он один из авторов. Вообще оригинальную версию выложил Aldo Cortesi
Потом уже там целое коммьюнити вокруг этого пакета образавалось

Ответить | Правка | Наверх | Cообщить модератору

36. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..." +/–

Сообщение от Ракамакафон Генкбенков (?), 14-Окт-21, 11:04

Не ну а чо, переиминуй зафаршмаченную вирьём сборку винды от толяна на "ШИНДОВС-12 нью спешал эдишан", слей это г-но на торрент и афигеешь сколько модников качнет этат скам. Тут так-же, основы С_И же чо..

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+8 +/–
Сообщение от ET (?), 13-Окт-21, 09:43
тёмная сторона форков
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+2 +/–
Сообщение от Стас Михайлов (?), 13-Окт-21, 09:45
никогда не было и вот опять © Зевнул. Уже даже не смешно. Норма для ноды, руби и прочих растов с композерами. Забавно смотреть как поступи ничего из себя не представляющие обитатели местного зоопарка хейтят платформу столь сильно оказывающую влияние на развитие индустриии. Уязвимость даже не в самой платформе а в пакете, пакетный менеджер работает аналогично всем остальным в других платформах. Но нет, побомбить то принято именно с PyPi. В святом расте то такое уж точно недопустимо.
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	–2 +/–
	Сообщение от QwertyReg (ok), 13-Окт-21, 11:29
	Удивительно! В популярнейших репозиториях находят вредоносные пакеты! Как такое может быть? И да, раз находят и удаляют, значит, всё хорошо. Плохо, если не находят и не удаляют, как в популярнейшем магазине приложений для Linux на смартфонах.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+/–
	Сообщение от Anonymous XE (?), 13-Окт-21, 12:54
	>магазине приложений для Linux на смартфонах Такой вообще существует? Android не Linux, если что.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+2 +/–
	Сообщение от QwertyReg (ok), 13-Окт-21, 12:57
	> Такой вообще существует? Android не Linux, если что. Ой, да бросьте. Когда надо булькнуть про "Linux - самая распространённая в мире ОС", то Android тут же становится дистрибутивом Линукса. Линуксом он резко перестаёт быть, когда приходит понимание, сколько дыр, вирусни и тормозов в этом дистрибутиве.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	–3 +/–
	Сообщение от Аноним (17), 13-Окт-21, 13:02
	Линукс самая распространённая ОС без андроида, можете фантазировать что угодно. Хромос это линукс в принципе, андроид уже не очень.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+1 +/–
	Сообщение от Аноним (-), 13-Окт-21, 13:14
	> Линукс самая распространённая ОС без андроида, можете фантазировать что угодно. Пруфцы давай, нефантазер ты наш опеннетный.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	–2 +/–
	Сообщение от Аноним (30), 14-Окт-21, 00:40
	Linux это ядро, а не ОС и да, оно самое распространённое.
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	34. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+/–
	Сообщение от QwertyReg (ok), 14-Окт-21, 08:31
	> Linux это ядро, а не ОС и да, оно самое распространённое. Это плохой аргумент.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+/–
	Сообщение от gogo (?), 13-Окт-21, 18:54
	> пакетный менеджер работает аналогично всем остальным в других платформах. если вы имеете ввиду npm и т.п. - то да. но вы сможете совершить подобный трюк с CentOS, например. так что ваша новомодное понятие нормы для пакетных менеджеров и есть уязвимость. в мозгах.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	26. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+/–
	Сообщение от gogo (?), 13-Окт-21, 18:55
	после "например" следует читать знак вопроса вместо точки )
	Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+4 +/–
Сообщение от Аноним (-), 13-Окт-21, 09:46
так они не догонят nodejs
Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	–3 +/–
Сообщение от Аноним (17), 13-Окт-21, 09:55
Когда устанавливаю из него блобы с 10 пользователями, успокаиваю себя тем, что их разработчик уже год-два ведёт проект, и страраюсь верить в то, что если все ссылки на китайский клон гитхаба отвалились, это совершенно нормально. Но всё-таки бинарные пакеты немного страшновато. Хорошо, когда собирается из исходников или вообще без блобов идёт. К сожалению это часто невозможно, нужны и gcc старых версий, и rust неопределённых версий и различные бинарные библиотеки из ещё более стрёмных проектов, которые приходится собирать отдельно.
Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	–2 +/–
Сообщение от Аноним12345 (?), 13-Окт-21, 10:50
Какая жесть А ведь это раздольное поле Существуют тысячи питоновских пакетов, и любой может быть подвержен такой атаке Если майнтэйнеры спят, то пиши пропало ...
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	–1 +/–
	Сообщение от Аноним12345 (?), 13-Окт-21, 10:53
	С другой стороны, каков процент устанавливаемых пакетов с Pypi ? Я имею ввиду, что каждый дистрибутив имеет свою собственную проверенную базу пакетов, которую мы получаем при установке дистрибутива И внедриться туда на порядок сложнее
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+/–
	Сообщение от Роман (??), 13-Окт-21, 11:55
	Once we have our requirements.txt file inside the image, we can use the RUN command to execute the command pip3 install. This works exactly the same as if we were running pip3 install locally on our machine, but this time the modules are installed into the image. RUN pip3 install -r requirements.txt это из официального гайда по докеру. Сколько докер образов используется в мире, можете сами прикинуть. Из пакетов ставят олдфаги, все остальные ставят сразу в докер.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	–3 +/–
	Сообщение от Аноним (13), 13-Окт-21, 12:03
	Внимание вопрос, а что тогда ставится в докер этой командой, если не пакеты?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	–2 +/–
	Сообщение от pashev.me (?), 13-Окт-21, 12:52
	А ты забавный
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+1 +/–
	Сообщение от Аноним (17), 13-Окт-21, 10:58
	Ещё бывает что оригинальный проект не обновлялся пару лет. И все ссылки на почивший гулогхостинг ведут. Это реальная проблема, приходится очень внимательно проверять, что устанавливаешь. И сравнивать изменения форка. Иногда проще уже написать свой наколенный вариант. Ужасные люди такие вещи с подменой имени делают, как их земля только носит.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	23. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	–1 +/–
	Сообщение от YetAnotherOnanym (ok), 13-Окт-21, 16:18
	> приходится очень внимательно проверять, что устанавливаешь А почему разработчик не может проверить одну версию зависимости, в которой есть весь необходимый функционал, и дальше прибить её гвоздями через хэш в конфиге установщика?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+1 +/–
	Сообщение от Аноним (17), 13-Окт-21, 16:30
	Потому что в протухших версиях баги, проблема даже не в фунциональности зачастую.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+/–
	Сообщение от YetAnotherOnanym (ok), 13-Окт-21, 19:24
	А в свеженьких?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+/–
	Сообщение от Аноним (17), 13-Окт-21, 19:30
	Очень многие проекты обновляются только когда приходится исправлять проблемы. Часто для этого делают форк потому что оригинальный автор nowhere to be found.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+/–
	Сообщение от YetAnotherOnanym (ok), 14-Окт-21, 01:14
	> Очень многие проекты обновляются только когда приходится исправлять проблемы. Часто для > этого делают форк потому что оригинальный автор nowhere to be found. Ну, ок, пофиксили обнаруженный баг, проверили новую версию либы на корректность работы в нашей аппликухе и снова прибили гвоздями проверенную версию в конфиге инсталлера.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+/–
	Сообщение от Онаним (?), 14-Окт-21, 07:24
	Потому что там crowd coding. Миллионы мух пытаются собрать из говна и палок собственные проекты.
	Ответить \| Правка \| К родителю #23 \| Наверх \| Cообщить модератору


	31. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+/–
	Сообщение от Аноним (30), 14-Окт-21, 00:43
	Какая жесть А ведь это раздольное поле Существуют миллионы хостов в интернете и любой может быть контролируемым мошенниками Если голову не включать, то пиши пропало ...
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору

12. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+/–
Сообщение от _kp (ok), 13-Окт-21, 11:56
Вообще такой "вредоносный" код обычное дело при отладке с нескольких разных машин. Автору достаточно было задокументировать это.
Ответить \| Правка \| Наверх \| Cообщить модератору

20. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+1 +/–
Сообщение от Аноним (20), 13-Окт-21, 13:21
Вполне ожидаемо. Не npmом единым.
Ответить \| Правка \| Наверх \| Cообщить модератору

21. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+/–
Сообщение от Аноним (21), 13-Окт-21, 15:51
> Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe Это не все вредоносные. Там по сути всё вредительство.
Ответить \| Правка \| Наверх \| Cообщить модератору

22. "Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mit..."	+/–
Сообщение от Аноним (22), 13-Окт-21, 16:11
Происки злых пыхарей, не иначе! Баттхертят, что пистончик самый популярный и не дырявый практически. В отличии от... Дыр найти не осилили, так диверсию устроили. Это так... по пхпшному.
Ответить \| Правка \| Наверх \| Cообщить модератору