Исходное сообщение
"В каталоге PyPI выявлены вредоносные библиотеки, использующи..." Отправлено Аноним, 20-Ноя-21 10:26
Есть ещё один способ скрытия. Изготавливается пакет. С сорцами на гитхабе. Легитимно выглядящий. В сорцах нет ничего лишнего. Только pickle используется "для ускорения", pickles строятся во время сборки пакета. Pull requestы, выпиливающие pickle, закрываются с мотивацией "я тут автор, и я решаю, что в моём пакете будет". А дальше если в пакет на pypi в встроенные в wheel pickles внести вредоносный код, никто и не обнаружит. Мало того, что почти никто не смотрит пакеты на pypi, так ещё pickles - это бинарник, для анализа которого инструментария нормального нет. Соответственно статические анализаторы, которые почти все заточены под исключительно исходник, его пропустят.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке: