https://www.opennet.me/openforum/vsluhforumID3/126132.html В каталоге PyPI (Python Package Index) выявлены три библиотеки, содержащие вредоносный код. До выявления проблем и удаления из каталога в сумме пакеты успели загрузить почти 15 тысяч раз...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56337<br> https://www.opennet.me/openforum/vsluhforumID3/126132.html#73 Thu, 16 Dec 2021 16:47:40 GMT C:\&gt; pip list &#124; grep dpp-client<br>"pip" не является внутренней или внешней<br>командой, исполняемой программой или пакетным файлом.<br> https://www.opennet.me/openforum/vsluhforumID3/126132.html#71 Wed, 15 Dec 2021 11:52:45 GMT &gt; А они избежали ?<br><br>Да нет:<br>https://www.opennet.ru/opennews/art.shtml?num=53448<br>&gt; В Perl-пакете Module-AutoLoad выявлен вредоносный код<br>&gt; 29.07.2020 11:27<br>&gt; В распространяемом через каталог CPAN Perl-пакете Module-AutoLoad, предназначенном для автоматической загрузки CPAN-модулей на лету, выявлен вредоносный код. Вредоносная вставка была найдена в коде теста 05_rcx.t, который поставляется с 2011 года. Примечательно, что вопросы о загрузке сомнительного кода возникали на Stackoverflow ещё в 2016 году.<br><br>https://www.opennet.ru/opennews/art.shtml?num=52785<br>&gt; В RubyGems выявлено 724 вредоносных пакета<br>&gt; 22.04.2020 09:55<br><br>Просто "Это другое!"(с)<br><br> https://www.opennet.me/openforum/vsluhforumID3/126132.html#70 Wed, 15 Dec 2021 08:54:26 GMT А они избежали ?<br> https://www.opennet.me/openforum/vsluhforumID3/126132.html#69 Tue, 14 Dec 2021 23:29:24 GMT &gt; Дык от проекта ж зависит и репутационных потерях от внедрения бэкдора. Вон <br>&gt; институтские пытались в ядро бэкдор впихнуть, были вышвырнуты <br><br>Угу, в фантазиях анонимов ("мotivated reasoning", кажись) оно может так и было, а вот в реальности - немного по другому.<br><br>https://www.opennet.ru/opennews/art.shtml?num=55095<br>&gt; Также были проанализированы 435 коммитов, включающих исправления, отправленные разработчиками из Университета Миннесоты и не связанные с проведением эксперимента по продвижению скрытых уязвимостей. <br>&gt; 349 коммитов признаны корректными и оставлены без изменений. В 39 коммитах обнаружены проблемы, требующие исправления - данные коммиты отменены и до выпуска ядра 5.13 будут заменены на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих изменениях. 12 коммитов потеряли актуальность,<br><br>https://lore.kernel.org/lkml/202105051005.49BFABCE@keescook/<br>&gt; Timeline of events<br>&gt; 2018:<br>&gt; - UMN bug-fix research on Linux kernel starts, and roughly 400 bug-fix<br>&gt; patc https://www.opennet.me/openforum/vsluhforumID3/126132.html#68 Tue, 14 Dec 2021 22:13:50 GMT Ага... На расте проектов нету. Совсем.<br> https://www.opennet.me/openforum/vsluhforumID3/126132.html#67 Tue, 14 Dec 2021 22:11:03 GMT Интересно как Perl CPAN и частично Ruby gems этого избежали?<br> https://www.opennet.me/openforum/vsluhforumID3/126132.html#66 Tue, 14 Dec 2021 22:07:30 GMT Дык от проекта ж зависит и репутационных потерях от внедрения бэкдора. Вон институтские пытались в ядро бэкдор впихнуть, были вышвырнуты и потом долго извинялись.<br>Для не rolling: в RedHat и Canonical люди сидят на зарплате, вот и проверяют.<br>Ну и уязвимости везде находят.<br><br>Вот кому выгодно нарабатывать репутацию годами и потом потерять доверие от злоумышленных действий?<br>Arch AUR, PIP, NPM не использует этот механизм<br> https://www.opennet.me/openforum/vsluhforumID3/126132.html#65 Tue, 14 Dec 2021 17:00:28 GMT Казалось бы, при чём тут Rust?<br> https://www.opennet.me/openforum/vsluhforumID3/126132.html#64 Tue, 14 Dec 2021 16:59:28 GMT Поддвачну. Сделали язычку одной реализации встроенную помойку с троянами - принимайте последствия. Нормальный язык с таким поставляться не будет.<br>