https://www.opennet.ru/openforum/vsluhforumID3/124612.html В каталоге PyPI (Python Package Index) выявлено несколько пакетов, включающих код для скрытого майнинга криптовалюты. Проблемы присутствовали в пакетах maratlib,...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55384<br> https://www.opennet.ru/openforum/vsluhforumID3/124612.html#53 Mon, 28 Jun 2021 04:04:49 GMT В идеале - да. <br><br>В реальности могут быть зависимости между пакетами, и проверка может, внезапно, стать исследовательской работой. В особенности, если возникает зависимость от чего-то ранее неизвестного (а библиотека уже вовсю используется).<br> https://www.opennet.ru/openforum/vsluhforumID3/124612.html#52 Sun, 27 Jun 2021 08:24:42 GMT Этническая преступность. Теперь еще и с татарским душком.<br> https://www.opennet.ru/openforum/vsluhforumID3/124612.html#51 Sat, 26 Jun 2021 12:19:26 GMT &gt; Это, кстати, следствие крайне безответственной организации и инфраструктуры библиотек<br><br>Ну, это вы загнули. В npm все намного стремнее, и там такие истории были многократно.<br> https://www.opennet.ru/openforum/vsluhforumID3/124612.html#50 Fri, 25 Jun 2021 13:51:39 GMT Стоит. Червяк -- самый небезопасный из интерпретируемых языков. Это, кстати, следствие крайне безответственной организации и инфраструктуры библиотек. Полная ассоциация с фавелами в Бразилии -- самострой и глобальная помойка. Ну и отступы еще добавляют адреналина...<br> https://www.opennet.ru/openforum/vsluhforumID3/124612.html#49 Fri, 25 Jun 2021 11:17:43 GMT &gt;marat<br>&gt;azaza<br><br>Российские ребята, походу.<br> https://www.opennet.ru/openforum/vsluhforumID3/124612.html#48 Fri, 25 Jun 2021 11:11:56 GMT &gt; Бизнесы мильенов недокопмпаний поляжет если они своими двумя землекопами начнут ревьюить весь свой зввисимый говно код.<br><br>Это преувеличение, если библиотека популярная как например django или sqlalchemy то там и без нас полно ревьюверов и их зависимостей в том числе, как среди авторов библиотеки так и среди её пользователей. Речь идёт о редких и малопопулярных библиотеках которые вполне возможно что никто и не ревьювил.<br><br>&gt; двумя землекопами<br><br>Это повод выбирать другие более распространённые библиотеки.<br><br>&gt; А ситуацию с Node.js представь<br><br>Нет возможности ревьювить &#8212; значит просто не используем, я например не использую Node.js и из-за этого в том числе.<br><br>Сейчас кстати Go по этому же пути nodejs идёт, а там вообще бинарники скомпилированные, вот там будет очень весело :-)<br> https://www.opennet.ru/openforum/vsluhforumID3/124612.html#47 Fri, 25 Jun 2021 10:43:25 GMT И остальные 100500 ещё не найдены :)<br> https://www.opennet.ru/openforum/vsluhforumID3/124612.html#46 Fri, 25 Jun 2021 09:45:49 GMT Бизнесы мильенов недокопмпаний поляжет если они своими двумя землекопами начнут ревьюить весь свой зввисимый говно код. А ситуацию с Node.js представь там в Hello, world под тысячу зависимостей.<br> https://www.opennet.ru/openforum/vsluhforumID3/124612.html#43 Fri, 25 Jun 2021 00:28:24 GMT Это как бы естественная гигиена (о которой, естественно, все забывают).<br><br>На мой взгляд, недобрый человек может действовать тоньше, и вредоносность может включаться не сразу, и обзор, на первый взгляд, ничего подозрительного не выдаст.<br>