URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 129406
[ Назад ]
Исходное сообщение
"Выявлена подстановка вредоносной зависимости в пакет с ночными сборками PyTorch"
Отправлено opennews , 01-Янв-23 10:18 
Разработки фреймворка машинного обучения PyTorch предупредили пользователей о выявлении подстановки вредоносной зависимости, выполняемой при использовании пакета с ночными сборками проекта. Проблема затрагивает только пакет PyTorch-nightly, пакеты со стабильными выпусками не пострадали. Вредоносная зависимость распространялась с 25 по 30 декабря 2022 года и была нацелена на компрометацию Linux-систем разработчиков, использующих тестовые сборки PyTorch...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58416

Содержание
Сообщения в этом обсуждении
"Выявлена подстановка вредоносной зависимости в пакет с ночны..."
Отправлено Аноним , 01-Янв-23 10:18 
01.01.2023 09:49

https://www.youtube.com/watch?v=ZNeva4uNf4Q

"Выявлена подстановка вредоносной зависимости в пакет с ночны..."
Отправлено Аноним , 01-Янв-23 15:45 
Повесить ему на шею баб, спиногрызов, кредитов, научить лакать спирт - и будет "настаящая нармальная жызнь, усё как усех".
"Выявлена подстановка вредоносной зависимости в пакет с ночны..."
Отправлено pashev.ru , 01-Янв-23 10:26 
> Для проверки наличия вредоносного пакета torchtriton можно использовать следующую команду

Которая снесёт вам хомяк 😂

"Выявлена подстановка вредоносной зависимости в пакет с ночны..."
Отправлено Аноним , 01-Янв-23 11:26 
Там вроде всё по-русски написано, какие проблемы?
"Выявлена подстановка вредоносной зависимости в пакет с ночны..."
Отправлено Admin , 02-Янв-23 12:42 
Он к тому, что и в статью можно вбить какую-нибудь закриптованную ересь в финале дающую аналог rm -rf /
и тысячи параноиков, которые торчем даже не пользуются, вобьют его из под рута и будут наслаждаться процессом
"Выявлена подстановка вредоносной зависимости в пакет с ночны..."
Отправлено Аноним , 02-Янв-23 15:32 
А в чём дело? Это могут прочитать примерно 100% людей, базово освоивших питон. Никакой обфускации, не как с перлом, где проблема понять, что вообще происходит, даже если ты неплохо знаешь язык.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 11:31 
> print('You are {}affected'.format('' if affected else 'not '))"

Как же противно читать код людей, которые сами себе умными кажутся.

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 11:36 
Кстати, объясните, зачем люди пишут так, вместо f-строк, там же одинаковая уязвимость? Например, когда имя файла содержит фигурные скобки, это прекрасно проявляется.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 11:39 
Я могу придумать только бэкслеш-последовательности в f-строках под запретом, их над присваивать отдельной переменной и потом присоединять. Существуют какие-то ещё причины?
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено bergentroll , 01-Янв-23 12:19 
Иногда для совместимости с Python<3.6.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 12:26 
f-строки - это вообще лютый культ карго, которые пихают везде и всюду. Есть у всяких поехавших такой стимул "мы хотим заставить наших пользователей обновить версию питона" (не об f-строках речь, а в общем, конкретно этот случай - когда в метаданных пакета были прописаны завышенные версии зависимостей). Вдумайся, эти поехавшие не только это хотят, а даже и не стесняются публично заявлять о том, что одна из их целей - нагадить части пользователей их пакета.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 12:45 
Наверно, как и с моржовым оператором, повышают удобочитаемость и простоту сопровождения. С питоном такая вещь, что есть только последний релиз, и всё остальное от лукавого. Что касается новости, то в питоне вообще сложно понять где нормальный пакет, а где не очень. Например, вот васянопакет который я довольно долго и продуктивно использую, но он поддерживает только 3.9 https://snyk.io/advisor/python/pycld3 а вот "официальный" пакет, загруженный непонятно кем https://snyk.io/advisor/python/gcld3 вот и выбирайте.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 13:10 
Чувствую, нужно написать автоматическую избавлялку от хренов моржовых.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 13:20 
Не взлетит, по многим причинам. Да и, например, раньше приходилось писать MappingProxyType({}), а в 3.10 уже можно {}.values().mapping и много такого. Минус лишние импорты, плюс чистота и читаемость кода.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 18:13 
Перл повышает удобочитаемость и простоту сопровождения.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 13:47 
Если в 2023 ты всё ещё пользуешь что-то старее 3.8 (последний, который умел в x86 под win7) и то чисто из-за легаси - попячся и убейся ап стену
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 14:59 
>Если в 2023 ты всё ещё пользуешь чем-то старее Windows 11

Пофрксил.

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 15:03 
> 3.8 (последний, который умел в x86 под win7)

Что поделать - разрабы питона - поехавшие.

К счастью есть для 3.9 workaround в виде васяноdllки.

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено псевдонимус , 01-Янв-23 19:04 
Проще выкинуть на мороз пердон.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 22:47 
>последний, который умел в x86 под win7

BSD с сорцами ещё до ANSI C нервно курит в сторонке.

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено pashev.ru , 01-Янв-23 13:46 
Вы все слабоумные. Надо писать:

if afffected:
  print ("You are affected")
else:
  print ("You are not affected")


"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 13:51 
Кому надо и почему ты считаешь, что ты единственный на белом коне и в пальто? Как ты предлагаешь записать это в 1 строку, чтобы выполнить через -c? Ты, вообще, видел, во что превращаются эти чёртовы ёлочки?
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено pashev.ru , 01-Янв-23 14:13 
>  записать это в 1 строку

И в чём я не прав?

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Омномним , 03-Янв-23 14:54 
С однострочниками у питонистов в силу значимых пробелов печаль-беда вообще.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Чулочник , 01-Янв-23 19:29 
>чтобы выполнить через -c

Чтобы выполнить через -c, в одну строку сувать не надо.

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 20:23 
Ты проверял, или местные эксперты нашептали?
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Местный эксперт , 01-Янв-23 20:45 
Это я сам нашёптываю тебе сам знаешь куда, проверяй :3
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним123 , 01-Янв-23 20:49 
Dedent и все отлично работает, но это ж надо документацию читать
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 21:47 
Наверно, будет весело, когда из-за особенностей эмулятора терминала, прилетит rm -rf в репу.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Sem , 02-Янв-23 00:32 
Dedent в однострочнике будет смотреться лучше? Ты серьезно?
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено iPony129412 , 02-Янв-23 16:45 
print("pony") if True else print("horse");
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено AKNOR , 03-Янв-23 20:41 
if ( afffected) THEN
  print *,"You are affected"

else
  print *,"You are not affected"
endif
STOP
Конечно же .

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено YetAnotherOnanym , 01-Янв-23 14:53 
> Как же противно читать код людей, которые сами себе умными кажутся.

И что там так тебя ранило? Один из овер9000 способов вывести строку, в которой либо присутствует, либо отсутствует какой-то фрагмент. Не хуже других.

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено жоск , 03-Янв-23 18:02 
Ваша петанячья феласофия нарушена
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 19:39 
Как же противно читать комментарии людей, которые сами себе умными кажутся.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 11:40 
>имеющий то же имя, что и пакет, размещённый в собственном репозитории PyTorch-nightly

Они там совсем кукухой поехали? Вот поэтому питорчем пользоваться и не надо.

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 11:56 
Проблема в том, что официальный способ установки питорча - это не использовать их репозиторий, а скачать wheel-пакеты с их сайта хочешь браузером, хочешь wget-ом, и поставить pipом. То есть по сути всё сработало именно так, как рекомендовано на их сайте.

Что даёт очнование полагать, что весь этот инцидент - by design. Страшно представить, что твориться со всеми остальными пакетами и в rust-экосистеме, где все зависимости качаются и всем на всё пофиг.

В общем, почалось. Это не первый раз, когда такое происходит с питоньими пакетами. И защититься от того, что сам сопровождающий кода скурвился, нельзя никак. Качая код всяких аморалок вы им полностью доверяете. Не хотите-не качайте. Разработку окупать надо. Не баннерами и майнером  - так вредоносами. Если вы не платите достаточно, то товар - это вы.

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 12:30 
Если ты платишь товар это тоже ты.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 12:33 
Если ты работодатель и платишь подчинённому, то товар - это он.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено 1 , 09-Янв-23 11:37 
И если не платишь, то товар тоже он.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено YetAnotherOnanym , 01-Янв-23 14:58 
> Страшно представить, что твориться со всеми остальными пакетами и в rust-экосистеме, где все зависимости качаются и всем на всё пофиг

Можешь подсказать экосистему, в которой все до единого пакеты в репозитории проходят обязательную независимую (от автора) ревизию и верификацию перед размещением в общем доступе?

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 22:10 
да, код-ревю на предприятии относительно мастера
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Бздюк , 02-Янв-23 12:50 
BSD семейство
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Бывалый смузихлёб , 01-Янв-23 12:00 
Но ведь, ну как же без своих потайных маня-пакетов и репозиториев просто с объявлением имени и версии пакета !?

Причём, в случае с тем же npm/yarn, свой уютненький локальный пакетик можно прописать с конкретной ссылкой на локальный каталог пакета - и оно будет тянуться исключительно оттуда невзирая ни на что, без всякого балагана с версиями. Это особенно актуально, когда требуется чуть допилить конкретный пакет под конкретный проект

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 12:35 
Да и в питоне так можно, вообще хоть на гит репозиторий - PEP 508, direct URL называется. Но ведь не сделано было.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Омномним , 01-Янв-23 12:10 
PyTorch'нули на отличненько
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 12:22 
пятифакторная небинарная аутентификация могла спасти от этой подставы
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 12:31 
А ещё можно просто пользоваться платными продуктами, которые полностью отвечают за безопасность и юридически и репутацией.  
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Анонус , 01-Янв-23 14:12 
А можно пример, как кто-то ответил юридически и репутацией? Мне всегда казалось чьл юридически закрепляют только СЛА, т.е. "мы обязуемся начать решать проблему как можно быстрее, но не гарантируем отсутствие проблем".
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Michael Shigorin , 05-Янв-23 17:54 
> А можно пример, как кто-то ответил юридически и репутацией?

Тот же торчок в соседних темах пытался применить свой неандертальский опыт к аккаунтам на опеннете.  Решительно не понимаю -- как можно сперва искать проблем на свою задницу, а потом обижаться, когда они наконец прилетают...

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено mikhailnov , 02-Янв-23 00:22 
Привет от шифровальщика Пети
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 12:48 
И переписъ на Руст.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Dzen Python , 01-Янв-23 19:05 
*Мамай-клянус! Пакет читсый, сам духтор уэбом правирял, ага!*
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено BrainFucker , 01-Янв-23 12:30 
То есть атакующие просто загрузили в репозиторий какой-то пакет, который там отсутствовал, но был упомянут в зависимостях пайторча?
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено SilverCutePony , 01-Янв-23 17:16 
Нормальный пакет уже был в репозитории от разработчиков PyTorch, а злоумышленники загрузили пакет с таким-же названием в публичный репозиторий PyPI. Во время установки, менеджер пакетов видел, что в PyPI этот пакет новее и скачивал его вместо пакета от разработчиков
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено BrainFucker , 01-Янв-23 17:25 
То есть это какая-то дыра в PyPI зачем-то позволяющая использовать одно и то же имя пакета разными людьми?
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено SilverCutePony , 01-Янв-23 18:17 
> То есть это какая-то дыра в PyPI зачем-то позволяющая использовать одно и
> то же имя пакета разными людьми?

Нет. В PyPI до этого не было этого пакета вообще, его туда залили злоумышленники впервые. Скорее это дыра в менеджере pip, загружающего пакеты из другого источника без спроса, если там новее

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Dzen Python , 01-Янв-23 19:14 
>  Скорее это дыра в менеджере pip, загружающего пакеты из другого источника без спроса, если там новее

Не дыра, а фича. Нужно качать, иначе соевый *прохраммистик* на циферки передернуть не сможет. Пока течёт его любимый лавандовый смуззи. Обидится. В твиттере напишет, поплачет в иссюях. Зачем тридцатилетнего ребенка с небинарным сознанием пятилетки в эко-френдли чунях расстраивать?

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Вы забыли заполнить поле Name , 01-Янв-23 19:18 
Вопрос в другом: зачем качать новые версии просто так? Ну зафиксируйте вы версию, заморозьте версии всех пакетов.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Омномним , 01-Янв-23 20:23 
В тяпляпс мирке сейчас так не модно, там модно разявить пасть и хлебать свеженькое прямо из трубы.
Добавить к этому васян-контейнеры с разных пабликов и торчащие из голого зада, тьфу, то есть голым задом редисы - но они всё равно за безопасность.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Омномним , 01-Янв-23 20:25 
Еще модно навертеть всяких докеров с дыроформами для редеплоя инстансов каждые 15 минут, а потом внезапно выяснить, что в 2022 разные 6 центосы в инфре ещё до сих пор живее всех живых.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Омномним , 01-Янв-23 20:27 
Патаму что сцYка воспроизводимость конь-фигу-рации, а переписывать всякие шаблоны инфрастукруты-а-ля-котэ от прошлого тяпляпса никто не берётся, потому что не понимает, что там нафиговерчено.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Омномним , 01-Янв-23 20:32 
(и потом приходишь ты такой весь в белом, посылаешь нахер все пупошефы, и с матюгами перебираешь этот весь такой стройный и документированный недоляпс на девятку без особых проблем за трое суток... все два десятка инстансов... под коллективное обещание никогда больше не совать туда своих ансиблов, пока клубничные плейбуки не будут вылизаны до сверкающего блеска и читаемы каждым вторым школьником 9 класса школы с агротехническим уклоном)
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Хру , 01-Янв-23 22:13 
Стройный и документированный - это тогда не тяпляпс по определению. Тяпляпс это докер на 9 дебиане крутящийся годами без обнов а тело, его настроившее, слиняло незнамо куда :)
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 22:30 
>а тело, его настроившее, слиняло незнамо куда

Обнови, чо как неродной? СТАНДАРТ ЖИ.

А тело, на самом деле, пошло скакать дальше с саксесс-стори за пазухой. Собрал образ, получил саксесс стори и ушёл в закат, пока не пришлось поддерживать. И на повышение.

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 15:57 
Крах всей системы разработки с использованием публичных репозиториев. И Питона в частности.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 17:00 
До гуманитариев-самоучек только сейчас начинает доходить, то что было очевидным для инженеров с профильным высшим советским (качественным) образованием.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 17:14 
Может быть светским, а не советским?
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 20:59 
Да, лучше светское образование, чем советское.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Michael Shigorin , 05-Янв-23 17:57 
Чем бы?  Так-то СССР кончился не на материальном фронте, а на духовном -- которого "не было"...
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Neon , 03-Янв-23 00:33 
С советским образованием люди заряжали банки с водой по телевизору от Чумака, лечились Кашпировским и верили свято в 1000% годовых))). И именно советские люди поменяли свою страну на дранные джинсы и жвачку. А некоторые даже дважды умудрились. Продать свою страну еще раз за кружевные труселя и туманные обещания рая в ЕС.))) Так что я бы не стал бы так уж уповать на советское образование.)))
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Бздюк , 04-Янв-23 06:40 
Тем же самым занимаются люди с британским или американским образованием. Шизы точно так же выпускаются из израильских школ и ВУЗов. В Скандинавии поехавших не меньше. В целом по планете 1-5% населения страдают или наслаждаются шизофазией. Вот и вы туда же. Важнейший индикатор для выявления шиза это его огульные и нахрапистые обобщения.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Michael Shigorin , 05-Янв-23 17:58 
> Тем же самым занимаются люди с британским или американским образованием.
> Шизы точно так же выпускаются из израильских школ и ВУЗов. В Скандинавии
> поехавших не меньше. В целом по планете 1-5% населения страдают или наслаждаются
> шизофазией. Вот и вы туда же. Важнейший индикатор для выявления шиза
> это его огульные и нахрапистые обобщения.

Ээээ... не хотите USB-зеркальце?

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 17:21 
У меня не советское, но мне тоже это было очевидно. Но приходится ставить скомпилированные другими бинарные пакеты, а не в чучхе играть.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Бывалый смузихлёб , 02-Янв-23 08:15 
Дело не в системе, а в отдельных обезьянах, которые не могут прописать локальные пути до локальных пакетов
Если это какой-то полувнутренний пакет - прописать конкретный адрес до него

Или, хотя бы, зафиксировать версию пакета а не «не ниже указанной и до мажорного обновления»

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Michael Shigorin , 05-Янв-23 18:00 
> У меня не советское, но мне тоже это было очевидно. Но приходится
> ставить скомпилированные другими бинарные пакеты, а не в чучхе играть.

А ведь можно и собирать вместе с другими (которых в физиономию знаешь), и даже создавать при надобности... кто ж так заставляет?

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 17:58 
Воду зарядил?
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено anonymous , 01-Янв-23 20:35 
рано, сначала бригадный подряд потом чудо конвейер глазника Федорова только потом "ставьте мази ставьте крЭмы я их заряжу". Желательно предварительный разогрев Бермудскими треугольниками с НЛО и Мумиём.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 21:29 
Если бы это было для этих инженеров очевидно, тогда они бы задались вопросом, почему в стране вместо нескольких экономических субъектов всего лишь один незаменимый.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 02-Янв-23 16:48 
> Если бы это было для этих инженеров очевидно, тогда они бы

Инженеры ничего не решают, ни в "этой" стране, ни в какой-либо другой.

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Neon , 03-Янв-23 00:34 
Насчет качественного советского терзают смутные сомнения. Именно самые читающие люди заряжали банки с водой по телевизору от Чумака, лечились Кашпировским и верили свято в 1000% годовых))). И именно советские люди поменяли свою страну на дранные джинсы и жвачку. А некоторые даже дважды умудрились. Продать свою страну еще раз за кружевные труселя и туманные обещания рая в ЕС.))) Так что я бы не стал бы так уж уповать на советское образование.)))
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Бздюк , 04-Янв-23 07:07 
Тем же самым занимаются люди с британским или американским образованием. Шизы точно так же выпускаются из израильских школ и ВУЗов. В Скандинавии поехавших не меньше. В целом по планете 1-5% населения страдают или наслаждаются шизофазией. Вот и вы туда же. Важнейший индикатор для выявления шиза это его огульные и нахрапистые обобщения.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 02-Янв-23 13:38 
Это просто локальная ошибка с приоритетами в конкретном менеджере пакетов.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 17:04 
Современный мир программирования пробивает очередное дно.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Dzen Python , 01-Янв-23 19:07 
Не путай *современный мир программирования* и *стильно-модно-молодёжный кодинг на гитхуп с уиииил зависимостями в недорепозиторях*. Они рядом, но между ними есть непреодолимый водораздел
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Neon , 03-Янв-23 00:36 
Современный мир программирования построили студенты троечники, которые старые учебники не открывали. А если вдруг откроют, то их осенит, типа Java с виртуальной машиной. А ведь виртуальные машины были еще в Паскале с его Pi-кодом.))) И идеи виртуализации имеют бороду длиной до мейнфреймов 70х годов и ранее.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 18:00 
>> if s is not None else '/'

Ой-вей! Двойные отрицания - сразу видно проФФеСионала

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 19:37 
Где там двойное отрицание, клоун? None это тип
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 20:10 
Додик, что-нибудь слышал про Truth Value Testing?
https://docs.python.org/3/library/stdtypes.html#truth-value-...
Попробуй запустить в интерпреторе и объяснить результат:
if not None : print("not None")
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 20:41 
Ващет там is not, это не отрицание, а сравнение объекта, операция называется object identity по-русски. Ты там нормальный? Что ты предлагаешь, not isinstance(None,type(None)) для встроенного типа, чтобы инвертировать bool? Зачем?
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 20:58 
Не позорься, зачем тебе сравнение с None, если у тебя есть Truth Value Testing?
И можно все записать кратко:

import importlib.util
import sys

# For illustrative purposes.
#name = 'itertools'
name = 'itertools2'

spec = importlib.util.find_spec(name)
if spec:
    # If you chose to perform the actual import ...
    module = importlib.util.module_from_spec(spec)
    spec.loader.exec_module(module)
    # Adding the module to sys.modules is optional.
    sys.modules[name] = module
else:
    print("can't find the itertools module")

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 21:04 
Ты чёт не догоняешь, что там происходит. А сравнение надо, потому что возвращает ничего, когда не находит.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 21:09 
Попробуй запусить это и объясни результат:
c = print("Hello")
type(c)
if not c: print("world!")
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 21:25 
>>> not False and not "" and not 0 and not None and not [] and not () and not {}

True

Что тебе не понятно? Любой из перечисленных выдаст True, а так же не совпадёт в любом условном операторе, но при этом они не равны. Ты просто не понимаешь, что такое типы и почему существующие объекты могут быть пустыми в языках с сильной строгой типизацией, таких, как питон (жс бэкграунд?).

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 22:14 
Я устал - ответ найдёшь в удалённых.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 22:22 
> Я устал - ответ найдёшь в удалённых.
>>> issubclass(bool,int)

True

Это называется ООП, ответ на все твои претензии.

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 22:26 
>Это называется ООП

Это называется язык дизайнил чёрт. К str тоже можно прилепить перегрузку + для интов и сказать, что это ООП.

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 22:24 
>>> True==1

True

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 21:07 
Кстати, в твоём варианте как раз будет проблема, если всё же что-то вернёт, но оно внезапно окажется не тем, что должно.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 21:21 
> ...проблема ... если всё же ...внезапно...

Ты что гуманитарий? Приведи (контр)пример, как нормальный человек!

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 21:43 
>Truth Value Testing

фига пафос конечно

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 21:47 
>а сравнение объекта

А сравнение объекта там затем, что тараканы в голове у Гвидо зашевелились и теперь в каждом типа будевом сравнении обязательно надо искать пустое значение, при этом is на всё остальное обычно линтер с такими же тараканами будет подсвечивать красненьким, нидайбох кто-то напишет опасный, неоптимизированный и нечитаемый (все прониклись читаемостью от is not None?) код.

На приёме на работу у вас обязательно спросят про то, сколько там чисел у сипитона преаллоцируется, но опять же, никто не будет просить сравнивать их с is.

А уж про мелочи навроде многогигабайтных докеробразов можно помолчать.

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 21:52 
А между тем, именно это является поводом для популярности питона. В нём не надо приводить каждый объект к булевому типу, чтобы узнать, содержит что-то, или нет, это так же экономит не только буковки в коде, но и ресурсы на конвертации в рантайме.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 22:24 
>поводом для популярности питона

То, что not можно поставить взад-вперёд, а линтер и тимлид требуют is not None на каждый чих?

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 18:12 
Удобненькие язычки с удобненькими пакетными менеджерами.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 19:12 
Всё норм, торчём никто не пользуется, он для отсталых, всё пользуются тензорфлоу, (или даже wabbit).
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Вы забыли заполнить поле Name , 01-Янв-23 19:15 
А где подборка самых значимых событий года? В этом году не будет?
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 21:34 
О том, что зарубежные производители российских процессоров не пускают российские процессоры на Россию, писать стыдно.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 21:44 
Да уж, TSMC в минувшем году пробило дно, это правда...
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 21:49 
Пакет рошенок на TSMC не обнаружили?
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Dzen Python , 01-Янв-23 19:16 
А вообще интересно не это - интересно почему это поведение в принципе разблокировано по дефолту? Вместо организационной соли - когда нужно явно руками указать для кокретного пакета разрешение обновляться из всех доступных источником, а не из того, что прописан жёстко.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 21:31 
>интересно почему это поведение в принципе разблокировано по дефолту?

А это чтобы удобненько было.

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Бывалый смузихлёб , 02-Янв-23 08:19 
А как тогда в чужие системы пролезать, если такие дыры прикроют !?

Вообще, если внимательно присмотреться к западному подходу к делам, оказывается что там дырявое как сыр всё, начиная даже с процов и, скорее всего, это не просто так. Причём, очень многие простые решения несравненно повысили бы безопасность, но сделано исключительно вопреки этому.

Возможно, не просто так в сша стратегические направления ОПК до сих пор работают на железе прошлого века и соотв ПО

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Омномним , 03-Янв-23 14:55 
Вообще если внимательно присмотреться - у них хотя бы есть эти решения, а не только пальцезагибание про безопастность.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Бздюк , 04-Янв-23 07:10 
Если внимательно присмотреться, то у них и население более миллиарда -- это только ЕС и США с лимитрофами. А не 140 млн. Соотв. и рынок больше и голов с руками больше. Про более тёплый и ДЕШЁВЫЙ ДЛЯ ЖИЗНИ климат даже не пишу -- это обязан знать любой школьник (вы-то, конечно, забыли, но я напоминаю)
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Омномним , 04-Янв-23 11:03 
Танцор, яйца, вот это всё. В Финляндии и Норвегии про климат - однозначно.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Бывалый смузихлёб , 04-Янв-23 12:44 
> Танцор, яйца, вот это всё. В Финляндии и Норвегии про климат -
> однозначно.

И какие у них решения «для безопасности» ?

Какие на западе вообще есть железобетонные решения для этого ?
Был касперыч - и того выгнали под надуманным предлогом. А то, что на десятке система по умолчанию любые подозрительные ей штуки на неизвестные сервера шлёт да кряки без запроса удаляет - так этодругое

Ведь, дырявое всё, вплоть до оси, процов и всяких цисок
Даже если будет мощный антивирус, при некоторых неучтенных дырах в проце, запросто пролезут в его память и повертят так, как в детстве на каруселях не крутили

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Омномним , 04-Янв-23 15:21 
> И какие у них решения «для безопасности» ?

Давай хотя бы с простого начнём: с OpenSSL.
Двинемся в сеть - и увидим Flowmon, Arbor, ...
Двинемся в конечные узлы - и увидим Sophos, Barracuda, ...

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Michael Shigorin , 05-Янв-23 18:04 
>> И какие у них решения «для безопасности» ?
> Давай хотя бы с простого начнём: с OpenSSL.

Да уж, где SSL, а где безопасность -- разве что как раз "безопасность", вот тут Вы правы.

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Омномним , 05-Янв-23 19:04 
Ну да, давайте всё плейнтекстом. Лично с банковской картой плейнтекстом онлайн поработать готовы?
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Омномним , 04-Янв-23 15:26 
Если ты конкретно за Финляндию с Норвегией - для начала увидим ведро :)
Потом Aves, Missing Link, Mnemonic, Netsecurity, Orca (ну эту-то уж стыдно не знать), Lambda Networks, Capricode Oy, Assa Abloy (тоже стыдно не знать), Anviz, nSense (ы?), и т.п.
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 21:39 
Обколются смузями, а потом вытворяют чёрт-те что...
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 21:50 
А тебе и завидно :3

Вакцинироваться, гражданин, не желаете? Снимайте штанишки, сейчас мы вас вакцинировать будем.

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 01-Янв-23 22:34 
А что вы ожидали, ставя пакет, в котором есть слово "торч"?
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Dzen Python , 01-Янв-23 23:54 
Torch == Факел.
Хотя и перевод тоже с эффектом телепорно...
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 02-Янв-23 10:15 
чья вообще была идея хранить код (святая святых) на сервере чужого, иногда неуважаемого, дяди?
"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 02-Янв-23 12:26 
> pip пытается загрузить внутренние зависимости и из публичных репозиториев

Как необычно! (нет)

"Выявлена подстановка вредоносной зависимости в ночные сборки..."
Отправлено Аноним , 05-Янв-23 16:17 
Кстати, firejail + его правила во многом бы сократили ущерб. Обычным процессам нельзя иметь доступ к чуствительным файлам.