The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"PyPI из-за вредоносной активности приостановил регистрацию новых пользователей и проектов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"PyPI из-за вредоносной активности приостановил регистрацию новых пользователей и проектов"  +/
Сообщение от opennews (?), 21-Май-23, 08:15 
Репозиторий Python-пакетов PyPI (Python Package Index) временно прекратил регистрацию новых пользователей и проектов. В качестве причины указан всплеск активности злоумышленников, наладивших публикацию пакетов с вредоносным кодом. Отмечается, что с учётом  нахождения в отпуске нескольких администраторов, на прошлой неделе объём зарегистрированных вредоносных проектов превысил возможности оставшейся команды PyPI по оперативному реагированию. Разработчики планируют за выходные перестроить некоторые процессы проверки, после чего возобновить возможность регистрации в репозитории...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59168

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 21-Май-23, 08:33   +/
Так зачем их проверять или ещё как-то допускать, просто смотри схожесть название и всё. Сразу из-за того что название похоже отбрасывать. Почему так нельзя сделать? То же самое расстояние Левенштейна допустим взять, если похожее  имя есть, всё, типа, до свидания. Вот и всё
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #7, #11

3. Сообщение от Аноним (3), 21-Май-23, 08:44   –5 +/
> отправку конфиденциальных данных

А selinux у вас, надо полагать, выключен

Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 21-Май-23, 08:48   +5 +/
Это очень плохой вариант, так как схожее имя пакета это не признак вредоноса. Это одно из рациональных свойств.
В действительности эту проблему может решить SAST какой нибудь, и то частично.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #5

5. Сообщение от Аноним (4), 21-Май-23, 08:49   +/
Рациональных -> опциональных  
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #68

7. Сообщение от Аноним (7), 21-Май-23, 09:21   +2 +/
Сразу видно, что Вы никогда не подбирали свободное, короткое и международно-говорящее имя своему Python пакету.

Допустим, Вы написали эффективную реализацию библиотеку для работы с файлами *.toml, поддерживающую загрузку и выгрузку комментариев. Как Вы её назовёте?

toml, tomli, tomli-w, tomlkit, toml-tools, toml-file, toml-python -- на PyPI уже заняты. Вот tomllib свободно, но это создаст путаницу с модулем tomllib стандартной библиотеки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #9, #15, #29, #60, #78

8. Сообщение от Аноним (7), 21-Май-23, 09:28   –1 +/
> ... в результате определения типовых файлов ...

Ха-ха, а ещё говорят, что порт SSH на нестандартный порт переносить бессмысленно.

Чем более странно и необычно у Вас на машинах всё устроено, тем сложнее у Вас что-то украсть... А ещё, тем уникальнее и ценнее Ваша экспертиза для вашего работодателя =))

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #33

9. Сообщение от ыы (?), 21-Май-23, 09:55   +1 +/
наверное стремление к короткому и говорящему в мире тотального копипаста- высосано из пальца.. или еще откуда...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #18

10. Сообщение от ыы (?), 21-Май-23, 09:57   +1 +/
то есть вы занимаетесь пере-пере-переконфигурациями всего и всея... а работаете вы когда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #14

11. Сообщение от ыы (?), 21-Май-23, 10:00   +/
лучше продавать... чем ближе похожесть- тем выше цена....
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #25

14. Сообщение от Аноним (7), 21-Май-23, 10:12   –1 +/
Как минимум:

1) По-возможности, не использую стандартные порты. Соответственно, массовая автоматизированная эксплуатация критических уязвимостей нулевого дня в OpenSSH или других сетевых службах может обойти меня стороной.

2) По-возможности, не использую переменные окружения для хранения паролей и ключей от баз данных, API или сторонних сервисов. Соответственно, если я умудрюсь опечататься в названии пакета PyPI, установленный вредонос отправит своему автору ничем непримечательные переменные окружения.

В любом случае, максима имеет смысл. Единообразие решений -- это единообразие сильных и слабых сторон. Отсюда и эффект "редкого самца" в популяциях животных как механизм поддержания вариативности генофонда. Отсюда и повышенная сложность атак на гетерогенные или кастомно настроенные инфраструктуры и системы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

15. Сообщение от Аноним (15), 21-Май-23, 10:24   –2 +/
Наверно больше не надо делать таких библиотек. Твой 22-ой лефтпад никому не нужен. Ты не должен его не то что называть, но и делать и публиковать. Это очевидно всем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #20, #71

18. Сообщение от Аноним (7), 21-Май-23, 10:40   +4 +/
Нет. Это критерий имеющий значение для любых OpenSource проектов, которые хотят чтобы их название было легко запомнить, легко нагуглить и не сделать 3 опечатки в названии при установке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #21

19. Сообщение от Sergey (??), 21-Май-23, 10:53   –2 +/
Если бы дали статистику ГЕО по ип и т.д. Было бы интереснее.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

20. Сообщение от Аноним (7), 21-Май-23, 11:11   –2 +/
Вот из-за таких вот советчиков экосистема Python скатывается в сторону коробочных решений для типовых задач по перекладыванию типового JSON`а между типовыми микросервисами типовых коммерческих компаний.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #26, #28

21. Сообщение от ыы (?), 21-Май-23, 11:31   –1 +/
в мире копипаста -это желание архаизм.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #27

24. Сообщение от Аноним (24), 21-Май-23, 11:34   +/
В сети существуют такие сервисы, называются, прокси. Вооот, отправляешь им байтики, а они от своего имени уже отправляют куда ты хочешь и возвращают тебе в ответ что там есть сказать той стороне.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #44

25. Сообщение от Аноним (7), 21-Май-23, 11:42   +1 +/
Это чтобы разработчики из некоммерческих организаций не могли выкладывать свои велосипеды под короткими и запоминающимся названиями, а разработчики из уважаемых бизнес-структур могли?

Причём заметим, деньги как универсальный критерий может сильно завышать ценность тех, кто специализируется на максимизации денежной прибыли и минимизации денежных расходов.

Соответственно, наиболее привилегированны оказываются социальные паразиты. Получать на порядок больше ресурсов, чем отдаёшь -- это суть как биологического, так и экономического паразитизма.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #30, #31

26. Сообщение от Аноним (15), 21-Май-23, 11:43   +3 +/
Искренне не понимаю почему экосистема с самого начала не коробочное решение. Пусть даже бы и платная. Все эти кодопомойки с зондами без какой либо даже формальной модерации ненужны.

Было бы дело если бы этот пипи делал так: Ваш пакет отклонен как малофункциональный, ваш пакет отклонен так как у вас низкая квалификация. Это уже могло бы иметь смысл.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #34

27. Сообщение от Аноним (7), 21-Май-23, 11:44   +/
Я живу не в мире копипаста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #32, #43

28. Сообщение от ыы (?), 21-Май-23, 11:44   +1 +/
это ключевая идея всего мира программирования с начала его появления. написать код который будет работать многократно. отсюда и библиотеки... вы против существования glibc?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #35, #36

29. Сообщение от X86 (ok), 21-Май-23, 11:45   +/
Toml-by-username и все норм
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #41

30. Сообщение от Аноним (15), 21-Май-23, 11:46   +/
Те кто генерирует деньги оказывается паразиты, а ты выкладывающий 22-ой раз либу для томл не паразит. У тебя типичная психология паразита, думать что вокруг тебя паразиты, а ты сам не паразит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #37, #49, #72

31. Сообщение от ыы (?), 21-Май-23, 11:49   +/
позволять выбирать удобные имена не прося за это денег - как раз и есть стимуляция паразитов. занял человек удобное имя задарма - а потом продал имя проекта втридорога. паразит? паразит..  но такие паразиты вам почемуто нравятся... почему?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #38, #61

32. Сообщение от ыы (?), 21-Май-23, 11:52   +1 +/
что тут сказать.. зря.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

33. Сообщение от Аноним (33), 21-Май-23, 11:58   +2 +/
портов так много, что их перебор займёт более суток?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #39, #40

34. Сообщение от Аноним (7), 21-Май-23, 12:42   –2 +/
Искренне не понимаю почему коробочные решения законодательно не запрещены.

Берёшь коробочное решение, что обещает легко и непринуждённо решить 95% твоих задач -- и оно действительно позволяет легко и непринуждённо решить 95% твоих задач, пусть и с плагинами.

Начинаете реализовать оставшиеся 5%... погружение в исходники коробочного решения... страшная боль... написание своих расширений... форки чужих расширений... костыли... манки-патчинг коробочного решения... стыд... реализация части функциональности где-то сбоку... стыд...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #56

35. Сообщение от n00by (ok), 21-Май-23, 13:01   –3 +/
> вы против существования glibc?

Создание аналога не ущемляет права glibc, поскольку целит в те ниши, куда glibc не подходит. А вот попытка свести техническую необходимость к риторике леваков как бы намекает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

36. Сообщение от Аноним (7), 21-Май-23, 13:15   +/
Термин "коробочное решение" происходит от фразы "всё (уже доступно) из коробки".

Причём, как правило, то что доступно из коробки:

1) Нельзя установить отдельно от остальных компонентов из той же коробки.

2) Зависит от других компонентов из той же коробки.

3) Навязывает готовую архитектуру.

4) Имеет десятки, а порой сотни тысяч строк исходников.

5) Подкупает простотой и скоростью разработки в типовых задачах.

6) Накладывает своеобразный вендор-лок, так как практически весь написанный Вами код использует богатый функционал из коробки.

7) Осложняет решение задач, о которых авторы коробочного решения просто не подумали.

То есть, речь была о больших фреймворках.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #69

37. Сообщение от Аноним (7), 21-Май-23, 13:25   –1 +/
Все неравновесные динамические системы в какой-то степени паразиты.

Однако, Выше я дал более узкое определение.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #45

38. Сообщение от Аноним (7), 21-Май-23, 13:26   +/
А если у человека нет лишних денег?

А если человек живёт не в той стране?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

39. Сообщение от Аноним (7), 21-Май-23, 13:27   +/
Нет, см. выше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

40. Сообщение от Аноним (7), 21-Май-23, 13:37   +1 +/
Задача:

1. Вы обнаружили 0day уязвимость в OpenSSH, позволяющую получить root-доступ к машине.

2. Ваш многочисленный ботнет можно легко обновить для использования этой уязвимости.

3. Вы знаете, что атака вызовет защитные меры (временные решения, а затем патчи).

Вопрос. Будете ли Вы перебирать все порты на всех машинах при проведении атаки, если у всех нормальных людей SSH висит на порте 22?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #51

41. Сообщение от serg1224 (ok), 21-Май-23, 13:52   +/
Расскажите кто-нибудь питонистам про пространства имён и иерархический нейминг в стиле "com.google.re2", "org.samba.msrpc", "vasya_pupkin.xml" и т.п.

Таким образом видно какие задачи библиотека решает и от какого вендора она. Имя вендора можно привязать к учётке в PyPI.

У джавистов опыт богатый, можно подглядеть подробности как там поступают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #42, #53

42. Сообщение от Аноним (7), 21-Май-23, 14:04   +/
Вася написал классный vasya_httpserver.

Петя написал классный petya_datavalidator.

Гриша решил упростить их интеграцию своим grisha_vasyahttpserver_petyadatavalidator.

Потом всех троих сбил автобус. Вопрос, как назвать форки?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #86

43. Сообщение от Аноним (43), 21-Май-23, 14:06   +1 +/
Все мы копипастим. Не ври себе: не жить в мире копипаста - это жить без интернета или даже вернуться в эпоху до печатного станка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #48

44. Сообщение от Аноним (15), 21-Май-23, 14:34   +/
Почему тогда все ими не пользуются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #46

45. Сообщение от Аноним (15), 21-Май-23, 14:35   +/
Оно неверное. Ты нас дуришь или у тебя когнитивные искажения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #47

46. Сообщение от Sergey (??), 21-Май-23, 14:37   +/
Не обращай внимания, он не в курсе что такое проки и как проходит регистрация в pypi.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

47. Сообщение от Аноним (7), 21-Май-23, 14:39   +2 +/
Нет, я просто дурак. Не обращайте внимание.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

48. Сообщение от Аноним (7), 21-Май-23, 14:43   –1 +/
"копипастить" != "жить в мире копипаста"

"копипастить" + "править" != "жить в мире копипаста"

"копипастить" + "интегрировать" != "жить в мире копипаста"

"установить готовую либу" != "жить в мире копипаста"

"использовать либу как написано в документации" != "жить в мире копипаста"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

49. Сообщение от Аноним (7), 21-Май-23, 14:53   +/
> Получать на порядок больше ресурсов, чем отдаёшь -- это суть <...> паразитизма.
> Те кто генерирует деньги оказывается паразиты

И.И. -- искусство интерпретации =))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

50. Сообщение от ivan_erohin (?), 21-Май-23, 15:29   +/
> pyhton вместо python

хорошее название. буду использовать.

Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от Аноним (33), 21-Май-23, 16:21   +/
Интересно, по машинам каждый раз прогоняют ботнет, на каждую новую уязвимость, или заранее собирают базы установленного софта, портов, и т.д.?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #57

53. Сообщение от Аноним (53), 21-Май-23, 16:43   +/
Или как в Go, использовать библиотеки по ссылке, к примеру, "github.com/BurntSushi/toml" или "go.mongodb.org/mongo-driver/mongo"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #79

55. Сообщение от gefest (??), 21-Май-23, 17:45   +/
Предлагаю платную премодерацию,   скромный залог эдак в 50000$ ну и маленькое  изменение в  api, чтоб из подписанныйх и проверенных пакетов можно было бы вызывать только подписанные и проверенные ...
И заживем, по энтерпрайзу заживем !!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #65

56. Сообщение от Аноним (56), 21-Май-23, 17:55   +1 +/
Если для тебя допиливание коробок боль и стыд, то уступи работу более опытному и стрессоустойчивому дяденьке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #58

57. Сообщение от Аноним (7), 22-Май-23, 00:20   +/
Поддерживать базу данных узлов, портов и результатов пробного подключения SSH/RDP в максимально полном и актуальном состоянии -- это довольно нетривиальная техническая задача.

При этом, в мире всё ещё доминирует IPv4, а большинство админов не меняет порты SSH, RDP, OpenVPN.
Поэтому сильно проще каждый раз распределённо прогонять ботнет, тем самым наращивая его.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

58. Сообщение от Аноним (7), 22-Май-23, 00:21   +/
Зачем, если есть библиотеки и микрофреймворки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

59. Сообщение от Аноним (60), 22-Май-23, 01:02   +/
Какой смысл во всех этих никем не рецензируемых репозиториях? 99,999% там мусор.

В расте вообще вот такие шедевры
https://docs.rs/upnp/latest/src/upnp/lib.rs.html#1-7

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #64

60. Сообщение от Аноним (60), 22-Май-23, 01:07   +/
toml-comment-loader например
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #62

61. Сообщение от Аноним (61), 22-Май-23, 01:11   +/
А ты случайно не киберсквоттер? Те тоже на себя по 100500 доменов регистрируют, а потом ими барыжат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #63

62. Сообщение от Аноним (7), 22-Май-23, 01:54   +1 +/
Скорее fast-commented-toml, так как комментарии без остального содержимого бесполезны, функция загрузки (load) с комментариями имеет мало смысла без функции выгрузки (dump) с комментариями, а основным недостатком существующего tomlkit является скорость парсинга.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

63. Сообщение от Аноним (7), 22-Май-23, 01:55   +/
Нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #83

64. Сообщение от Аноним (7), 22-Май-23, 02:15   +1 +/
Какой смысл во всех этих, никем нерецензируемых, видеохостингах? 99,999% там мусор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #80, #85

65. Сообщение от Аноним (65), 22-Май-23, 02:52   +/
Подход докера в этом плане вполне удачный: пакеты малоизвестных авторов должны включать имя автора, чтобы получалось что-то типа "pip install google/tensorflow", а когда автор уже "сделал себе имя", то имя можно не указывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #70

68. Сообщение от Аноним (68), 22-Май-23, 07:27   +/
> всего с 2019 года число выявленных вредоносных пакетов превысило 115 тысяч
> Вредоносные действия обычно сводятся к отправке конфиденциальных данных, найденных на локальной системе в результате определения типовых файлов с паролями, ключами доступа, криптокошельками, токенами, сессионными Cookie и другой конфиденциальной информацией.

Да. Надо при регистрации все данные прогонять через автоматизированную систему поиска подозрительных пакетов. Отличие названий и/или имен на 1 букву или перестановка букв есть повод для автоматической блокировки. Пусть в ручном режиме связываются и доказывают что проект не вирусный.

Сканирование SAST, антивирусом исходных текстов проекта требует значительных вычислительных ресурсов.

Активно поощрять использование подписей OpenPGP.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

69. Сообщение от ыы (?), 22-Май-23, 07:38   +/
яблочники вас бы не поняли. жить в коробочном решении настолько классно и здорово- что ваши камни в их огород просто рассыпаются в воздухе не долетая... конечно если "коробка нарисована так, что вам хочеться ее лизнуть" :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

70. Сообщение от ыы (?), 22-Май-23, 08:42   +/
что помешает создать проект gooogle/tensorflow ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #73, #74

71. Сообщение от Мёртвый (?), 22-Май-23, 09:08   +3 +/
Есть люди, которые не в курсе, что любую задачу в программировании можно решить как минимум тремя способами. При этом нет никакой гарантии, что все эти способы будут одинаково удобны при повторном применении в разных ситуациях, одинаково масштабируемы, одинаково оптимизированы.

Возможно этим людям будет сложно свыкнуться с мыслью, что под их определение ненужности попадают одновременно и Django, и Flask, и FastApi, и даже aioHttp тк с помощью всех них можно реализовать веб-приложение, а значит следуя логике подобных людей, эти библиотеки не нужны. Так же как не нужен к примеру DRF - ведь функционал для сериализации, десериализации, обработки post и get запросов достаточен и имеется в ванильной джанге. логика она такая... логичная...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

72. Сообщение от Мёртвый (?), 22-Май-23, 09:14   +2 +/
те кто генерируют деньги не создавая ничего полезного - да, паразиты, тк генерируя деньги для себя они смещают концентрацию денежной массы в свою сторону не увеличивая общей ценности денежной массы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

73. Сообщение от Аноним (7), 22-Май-23, 09:18   +/
Вероятно, помешает regular expression или проверка на вхождение подстроки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #82

74. Сообщение от Мёртвый (?), 22-Май-23, 09:21   +1 +/
ничто не помешает, но подделка названий непопулярных пакетов мало что даст злоумышленнику.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

77. Сообщение от YetAnotherOnanym (ok), 22-Май-23, 10:26   +/
> pyhton вместо python

Пыхтон - это звучит. Надо запомнить.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #81

78. Сообщение от YetAnotherOnanym (ok), 22-Май-23, 10:31   +/
> toml, tomli, tomli-w, tomlkit, toml-tools, toml-file, toml-python -- на PyPI уже заняты

А вот нефиг велосипедингом заниматься.
Вообще, очень показательный пример положения дел в питономире - уже написаны toml, tomli, tomli-w, tomlkit, toml-tools, toml-file, toml-python, а всё равно приходится писать новую эффективную реализацию библиотеку.
И - да, показательно, что слова "parser" ("toml-parser") никто из авторов этих библиотек не знает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

79. Сообщение от YetAnotherOnanym (ok), 22-Май-23, 10:57   +/
> Или как в Go, использовать библиотеки по ссылке, к примеру, "github.com/BurntSushi/toml"
> или "go.mongodb.org/mongo-driver/mongo"

Все ссылки будут на pypi, и опечатка будет точно так же приводить к существующему вредоносному пакету.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

80. Сообщение от YetAnotherOnanym (ok), 22-Май-23, 11:10   +/
> Какой смысл во всех этих, никем нерецензируемых, видеохостингах? 99,999% там мусор.

Пабрацки, скинь ссылу на видеоролик, который умеет пароли находить и хозяину отсылать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

81. Сообщение от ОШИБКА Отсутствуют данные в поле Name (?), 22-Май-23, 13:13   +1 +/
Пухтон, вообще-то. Придуман мальчиком, ушедшим от родителей в джунгли, поссорившись из-за того что те не хотели вместо NULL говорить "ай нонэ-нонэ" и смешно приплясывать. В качестве исключения был принят в семью змей и raised ими. Приютившим его рептилоидам взамен поклялся переименовать все ключевые слова во всех языках программирования на что-нибудь несуразное и засыпать планету синтаксическим сахаром.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

82. Сообщение от ыы (?), 22-Май-23, 14:10   +/
тогда почему этот regular expression или проверка на вхождение подстроки не защитит от rensorflow ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

83. Сообщение от Аноним (83), 22-Май-23, 16:52   +/
Нет не скоттер или нет не случайно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

84. Сообщение от Аноним (85), 22-Май-23, 23:33   +/
Навеяло про Снэпы, про давайте станем легче с зависимостями, пусть в блобе прилетают на автопилоте, не беспокоя людей нагрузкой понимания, что ж код-то делает и принёс-то кто.

Вот и тут - свободный проход...

Ответить | Правка | Наверх | Cообщить модератору

85. Сообщение от Аноним (85), 22-Май-23, 23:35   +/
> Какой смысл во всех этих, никем нерецензируемых, видеохостингах? 99,999% там мусор.

Все побежали, и я побежал.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

86. Сообщение от serg1224 (ok), 23-Май-23, 07:14   +/
> Вася написал классный vasya_httpserver.
> Петя написал классный petya_datavalidator.
> Гриша решил упростить их интеграцию своим grisha_vasyahttpserver_petyadatavalidator.
> Потом всех троих сбил автобус. Вопрос, как назвать форки?

Форк - это иное авторство проекта, внутри может быть всё переделано на усмотрение нового разработчика. По сути, из общего с проектом-предком может остаться только цель проекта, да и то в каком-то подмножестве. Пусть будет, например, Kostya.MegaBoostServer. Если проект докажет временем свою состоятельность, то люди запомнят его. Мы же как-то запомнил nginx, zabbix и прочие Eclipse.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

87. Сообщение от Аноним (87), 23-Май-23, 22:14   +/
Логичный конец любого немодерируемого репозитория - суть помойки. Пора делать обязательную модерацию и сеть доверия. Надеюсь, AUR та же судьба постигнет, тогда, глядишь,  можно начать рассматривать Arch как дистрибутив.
Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру