( ヽ´ん`)「Pythonのパッケージが足りない?適当にpipでインスコしまくればいいか」→ウィルスだらけだった [663344715]
■ このスレッドは過去ログ倉庫に格納されています
不正なPythonパッケージをPyPIに44個発見、利用の有無の確認を
掲載日
2023/06/19 11:17
Check Point Software Technologiesは6月16日(米国時間)、「PyPI Suspends New Registrations After Malicious Python Script Attack」において、PyPI (Python Package Index)リポジトリに悪意のあるパッケージが複数あることを伝えた。「DreamyOakXTimmywag」と呼ばれる作成者により、44もの不正なパッケージがリポジトリに追加されていたことが明らかになった。
https://news.mynavi.jp/techplus/article/20230619-2707529/ 逆にこういう所にどうやったらアップロードできるのかわからん 有名パッケージの1字違いとかたくさんあるからな
パッケージ名は絶対手入力するなよ パッケージリポジトリ側でウィルスチェックぐらいして欲しいわ
やべえって言われてから、最新のPythonではpipは使えなくなったぞ
pipxという仮想環境にいちいち入れられる。あるべき姿だったけど今まで適当だった 不正をチェックする会社は何やってんだよ
個人で調べる人も一人もいなかったのかよ 最近のOSS界隈はもう終わってんな
儲からんのにわざわざ善意でメンテする奴なんて絶滅してんだ
>>51
rootless dockerっていうルート権限で実行されていないコンテナがその意味では人気
podmanとか同じように使えるよ >>7
使ってるライブラリのソース全部読んで確認してる奴ってどれくらいいるんだろうな
世界規模のセキュリティ問題起きてもおかしくない適当さなのによく耐えてるわ pypiでホームページ調べてgithubにとんで
git cloneしてソースざっと見てからsetup.py
これでええだろ
ソースがみあたらないやつはパスで 大学とか研究機関ぐらいしかインターネット使ってなかった頃でしか通用しない仕組みだと思うわ
作者のサイトからインストーラーをダウンロードとかなら怪しいからやめとくかとか、保存だけしとくかってできるけど
依存関係でわけわかんないだろこの仕組み。ずっと不思議だったんだけどやっぱ安全じゃないじゃん transitiveなものも含めた全依存先の一つでもそのリポジトリーの垢ハックされたらアウトとかいう地獄 チェックはlinusおじさんくらい厳しくないとダメ 勝手にネットからパッケージ取ってくるってのは、それは個人レベルでは便利でいいのだが、
だがネットに繋げにいけない環境のことも考えてくれと本当思うわ conda馬鹿にしてるやつこれどう思ってんの
Pythonist環境構築の話ししすぎなんだよ、さっさとコード書け Pythonなんて便利ライブラリ沢山使える以外の存在意義がないゴミ言語なのに… PythonにしろLinuxにしろ呪文を打ったあとに
PythonセンターとかLinuxセンターに繋がって勝手にインストールが始まるわけだろ?
そんな先のことまで誰も何も考えてないのだから
これやっぱり呪文と変わんねぇような気がすんだ グレーターフール理論の逆パターン感ある
ヤバそうだけど頭いいやつが何とかしてくれてるだろう→そんなやついませんでした残念〜 火事だけど誰か通報してるだあろで誰も通報してないやつと同じだな いうてメジャーなのならへーきやろという雑な意識で適当にやっとけばよいと思う >>1
多分こういうのは手が込んでると思うぞ
簡単なセキュリティチェックぐらいはしてるだろうから
難読化したり分かりにくく埋め込んでるんだろう
俺もchrome 拡張でキーロガーメール送信の拡張作って
審査で落とされないようにJS難読化しまくったからな😹 こりゃ Python終わったな
Node.jsやってる俺大勝利 >>83
redhat enterprise linuxは余計なことをしなければレッドハット社からしかダウンロードしないよ。
年間10万出せるかどうか >>88
JSは非同期処理の書き方が面倒すぎて広まらないと思う
callback地獄はなくなったけど、promiseだのawaitだのの書き方が面倒すぎ
ループ処理すら苦労するわ いっぱいあったらオープンソースなんだし誰かが見てるだろヨシ!の連鎖が起きて誰もちゃんと見てないパターンも普通にありうるもんな >>90
Pythonこそawait地獄なんだが
助けてくれ awaitっていうほど辛い?
goみたいになって欲しいってことかな。正直一長一短だと思うけど
goはcontextとかいう後付け酷いしそもそもselectの対象がchanだけなのヤバい >>90
今node(javascript)で非同期書くならasync await一択だけど
過去ソフトとかライブラリがcallbackだったりpromiseだったりバラバラなんだよな Weekly downloads 1万
よしよしたくさんダウンロードされてるな
みんなで渡れば怖くない パイソン始めたばっかりでピップってwindowsなら直接exe踏んでるような感じだけどなんかセーフティがあるんだろうなあと思いながらやってたけど普通にないのかよ >>97
pip「私は開発者にソースを読むチャンスを与えた」 ■ このスレッドは過去ログ倉庫に格納されています