Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Подмена зависимости в Python-библиотеке, насчитывающей 40 млн загрузок в месяц"	+/–
Сообщение от opennews (??), 10-Мрт-25, 20:01
В библиотеке Python JSON Logger выявлена уязвимость (CVE-2025-27607) дающая возможность подменить зависимость при установке через каталог PyPI и добиться выполнения своего кода на системах, использующих данный пакет. Библиотека Python JSON Logger, которая позволяет организовать ведение лога в формате JSON, за последний месяц была загружена 40 млн раз.  Проблема  устранена в версии Python JSON Logger 3.3.0, опубликованной 7 марта... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62856
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 10-Мрт-25, 20:01	+16 +/–
> не уведомив разработчиков зависимых пакетов а должен был? это же опенсорс, детка, здесь и удалить своё репо могут
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #32, #44

2. Сообщение от Ivan_83 (ok), 10-Мрт-25, 20:07	+6 +/–
> выявлена уязвимость (CVE-2025-27607) В чём уязвимость то!? Причём тут вообще какой то питон логер!? Это проблема системы установки зависимостей самого питона допускающая атаку на цепочку поставок. В общем репутация CVE скамеров помножается на ноль.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

3. Сообщение от Аноним (3), 10-Мрт-25, 20:18	+2 +/–
Фигасе они насрали в обсуждении: https://discuss.python.org/t/stop-allowing-deleting-things-f... Кто читал, какая аргументация против? Кстати, май инглиш из вери бэд, бат "Stop Allowing deleting things from PyPI?" переводится Гуглом как "Запретить удаление объектов из PyPI?". Как это соотносится с "просили запретить повторную регистрацию удалённых проектов"???
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #5, #6, #68

4. Сообщение от Ivan_83 (ok), 10-Мрт-25, 20:32	+7 +/–
Да вот так. Смотри какой прикол: я беру пачку денег которые охота сжечь ради лулзов, открываю топ этого вашего пипа, дальше пишу авторам: куплюк ваш проект прям сегодня за $10к. Кто то с первой сотни по любому согласится. Дальше я туда или коммичу фигню ломающую всё, ну типа оставляю только coc.md, или пихаю майнер или грохаю репу. А дальше ловлю лулзы с телека про то как всё везде сломалось. Притом с случае coc.md мне и предъявить то нечего: я честно купил, дальше делаю что хочу со своим проектом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #9, #26

5. Сообщение от Аноним (5), 10-Мрт-25, 20:35	+/–
Там ниже по тексту обсуждение запрета удаления в контексте защиты от повторного использования: If we remove project deletion, which is just one way to prevent name reuse, we should permit orphanage or something similar.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

6. Сообщение от Аноним (6), 10-Мрт-25, 20:48	+1 +/–
Заходил Кэп, передавал что если нельзя будет удалить, то нельзя будет и повторно зарегистрировать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #10

7. Сообщение от Аноним (7), 10-Мрт-25, 20:51	+4 +/–
Уязвимости уровня "придти, вскрыть при всех, перепаять.. профит!" уже не впечатляют, пошли уязвимости "а вот если бы"...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

8. Сообщение от Аноним (8), 10-Мрт-25, 20:53	+/–
А я не использую PyPI. Ставлю через APT и через GitHub. Уже более 10 лет. Полёт нормальный. Шах и мат, подменщики зависимостей. cat /etc/pip.conf [global] no-index = true no-deps = true
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #20, #69

9. Сообщение от Аноним (9), 10-Мрт-25, 20:54	+1 +/–
Подобная шляпа решается версионированием, а точнее запретом (платформы хостинга репозитария) на изменения\удаление архивных версий. Ну а что вы хотели, ваш проект зависимостями задействован в другом ПО. Ну т.е. в кюррент "20250319_6.8.24" ты изменения писать конечно можешь, а вот подменить\удалить архив(20210101_01.1.1.) - ты уже не должен иметь прав вообще. Вопрос лишь во времени заморозки - через день-два, или неделю. Удивлен, если в Пипи это не реализовано. Хотя что с них взять, вечно думают в шлангах и гейтах, вместо безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #21, #23

10. Сообщение от Аноним (10), 10-Мрт-25, 20:55	+3 +/–
Но всегда можно перепродать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #19

11. Сообщение от Аноним (9), 10-Мрт-25, 20:56	+/–
Где тот отважный герой-мантейнер, который перепаковывает все проекты из пипи, в апт-репозитарий? P.S. Сам я в CPAN тоже давно не заходил - все из портов ставлю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #25

12. Сообщение от Аноним (1), 10-Мрт-25, 21:21	–9 +/–
тебе никогда не стать фрибзд комиттером, как бы ты не старался цве нужен для того, чтобы когда человек прочёл заафекченные версии, мог сразу понять - он скорее всего заафекчен, а вот версия Х+1, где зависимость убрали\изменили - она уже безопасна
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #24, #33

13. Сообщение от Аноним (13), 10-Мрт-25, 21:26	+2 +/–
PyPI, NPM, Cargo доставляют... зонды.
Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Илья (??), 10-Мрт-25, 21:59	+/–
И только в нугете таких проблем не было
Ответить | Правка | Наверх | Cообщить модератору

15. Сообщение от von Ketteler (-), 10-Мрт-25, 22:05    Скрыто ботом-модератором	+5 +/–
Что??!! В 2025 году pypi автоматически не уведомляет ?!!Что за пещерные люди !
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

16. Сообщение от Tron is Whistling (?), 10-Мрт-25, 22:18	+1 +/–
Ахах, ну вот как раз то, о чём я и писал. Каждому лефтпаду - по пакету непонятно где. И все вот эти вот язычки без динамической линковки, и вся эта практика сбора монолита автоматом - вот сюда вот и приводит.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

17. Сообщение от Аноним (17), 10-Мрт-25, 22:23	+/–
Плюс в копилку пакетников дистров.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

19. Сообщение от Аноним (19), 10-Мрт-25, 23:01	+/–
Всегда можно найти выход.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

20. Сообщение от Аноним (20), 10-Мрт-25, 23:27	+1 +/–
> cat /etc/pip.conf cat: /etc/pip.conf: Нет такого файла или каталога
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #46

21. Сообщение от пох. (?), 10-Мрт-25, 23:36	+1 +/–
> вы хотели, ваш проект зависимостями задействован в другом ПО. DMCA takedown, и удалишь как миленький. (авторские права? Неаааа, не слышал?) Внезапно, использование зависимостей - ответственность тех кто их использует (вот они, если хотят - могут у себя коллекционировать архивы - но никому их не показывать). А автор имеет полное право взять и перестать предоставлять тебе исходники. (причем в большинстве правовых систем это право - даже передать нельзя, оно неотъемлемое. Т.е. не получится повесить при входе грозную табличку "ваш код не ваш код с момента его выкладывания в нашу помойку")
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #40, #41

22. Сообщение от пох. (?), 10-Мрт-25, 23:37	+/–
Как будто их создают не скриптом, чохом подбирающим любой мусор из той же самой пиписки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #29

23. Сообщение от Ivan_83 (ok), 10-Мрт-25, 23:55	+1 +/–
> Ну т.е. в кюррент "20250319_6.8.24" ты изменения писать конечно можешь, а вот подменить\удалить архив(20210101_01.1.1.) - ты уже не должен иметь прав вообще. ШО!? Я типа за $10к это купил (или сам написал с нуля), делаю чо хочу. Не нравится - идите в лес и пишите там сами. А если ты против то приедут ребята в пативэне и применят обеспечительные резиновые меры и к серверам и к их владельцам. Но скорее всего хватит и просто емыла/звонка с обещанием приехать если через 5 минут не будет готово.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

24. Сообщение от Ivan_83 (ok), 11-Мрт-25, 00:00	+3 +/–
Чувак, мне им никогда не стать потому что я уже и не хочу давно. Да и раньше не очень сильно хотел. А если ты навешиваешь CVE по зависимости - то тебе надо навешивать её не на одну нещастную либу а на все проекты где эта зависимость есть. Мне чото кажется таких проектов должно быть больше одного. Но вообще, я не видел раньше чтобы CVE вешали вот так. В том же ffmpeg да и прочих популярных либах ни раз что то находили, но никогда не приходили к проектам которые эти либы юзают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

25. Сообщение от Аноним (26), 11-Мрт-25, 00:04	+/–
Зачем все перепаковывать, если можно просто из гита ставить? pip это умеет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #28

26. Сообщение от Аноним (26), 11-Мрт-25, 00:11	–2 +/–
>$10k 1. Оторван от реальности. Для тех вот авторов топовых проектов твои $10k - копейки. Пошлют далеко и надолго. И в паблик переписку выложат, просто чтобы поржать. 2. Как только ты это сделаешь ... огребёшь от платформы. Напомнить, какая корпорация взяла там на себя роль хозяина всей опенсорс экосистемы, и что она делает, когда очередной лефтпадчик наглеет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #37, #39, #60

28. Сообщение от Аноним (9), 11-Мрт-25, 04:11	+1 +/–
И как это защитит от очередного васяна, который решил пакеты на гите порушить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #31, #45

29. Сообщение от Аноним (9), 11-Мрт-25, 04:14	+1 +/–
чито бы подбирать гамно из пипи, нужно что бы были задействованы пятонячьи инструменты, а умственно отсталых для этого в сборщиках дистрибов обычно нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #54

30. Сообщение от Аноним (30), 11-Мрт-25, 04:34	+1 +/–
Никогда не любил эти менеджеры пакетов в яп. Нужна библиотека - пиши сам или скачай на сайте руками. На каждую программу на таких языках приходится тянуть в систему целую помойку из зависимостей. Будто чувакам их в линуксе не хватает так они их в свой софт пихают.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35

31. Сообщение от Аноним (31), 11-Мрт-25, 06:58	+3 +/–
неудобный вопрос, игнорируем
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

32. Сообщение от Смузихлеб забывший пароль (?), 11-Мрт-25, 07:44	+2 +/–
Ну вообще-то нет. Что выложено - то выложено. Надоело вечно допиливать - просто перестаёшь новые версии выгружать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

33. Сообщение от Смузихлеб забывший пароль (?), 11-Мрт-25, 07:47	+/–
Вне зависимости от стараний никогда не стать тем, для кого будет великой честью работать как прОклятому за бесплатно на тех кто гребёт баблоу на пожертвованиях и тратит его хз как и хз куда О, Боги, за что такое наказание, каков же смысл жЫть дальше :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #63

34. Сообщение от Смузихлеб забывший пароль (?), 11-Мрт-25, 07:52	+/–
там проблема в возможности удаления пакетов, которые уже могут быть в зависимостях Либо запретить удаление пакетов( что очевидно. Запарился поддерживать - ну и бросай это дело. Но, что уже сделано - то остаётся ) Либо - помимо версии и названия пакета, запоминать его хеши, чтобы можно было отличить старый пакет от нового с таким же названием но иным содержанием
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #55

35. Сообщение от Смузихлеб забывший пароль (?), 11-Мрт-25, 07:53	+/–
Это если один работаешь. А если хотя бы 5-10 чел ? Каждому будешь пошагово объяснять, как конкретный добавленный пакет подключать на его стороне или в репу десятки-сотни мегабайт мусора закидывать ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #36

36. Сообщение от нах. (?), 11-Мрт-25, 08:33	+1 +/–
> Это если один работаешь. это если не работаешь вообще. Один или впятером - без разницы. > Каждому будешь пошагово объяснять это называется - собеседование. И это они тебе объясняют уровень минимального владения инструментами для работы, или идут искать другого лош..... Проблема совершенно в другом - питон без батареек превращается в просто еще один чудовищно неудобный примитивный бейсик. (как и жабоскрипт) А просто перекладывание миллиона зависимостей зависимостей пятого порядка себе в проект - ни от чего толком не защищает, кроме "защиты" от исправлений ошибок и может даже угроз безопасности в каждой следующей версии лефтпада. Где гарантия что ты себе УЖЕ не троянскую версию скопировал-то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #74

37. Сообщение от Жироватт (ok), 11-Мрт-25, 08:42	+/–
1. Сильное заявление, доказывать его, конечно, никто не будет. 1.1. И? Постоянно такое всплывает, когда китайцы покупают расширения для браузеров. 2. ...только находясь в штатовской юрисдикции или юрисдикции их европейских вассалов. Реально, на территории ~70% всей обитаемой суши, прямо или косвенно не подпадающей под штатовские законы единственное что эта корпорация может - удалить аккаунт и заспамить тебя туповатыми полуавтоматическими письмами про "встретимся в суде", на которые просто ложится болт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

38. Сообщение от Жироватт (ok), 11-Мрт-25, 08:42	+1 +/–
Не, тут классическое "хакер и солонка"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

39. Сообщение от нах. (?), 11-Мрт-25, 08:46	+/–
Это ты оторван от реальности и явно даже читать не умеешь. Для автора очередной вот такой msgspec-python313-pre (название конечно само за себя говорит) уже удаленной нахрен из репо - очень даже не копейки. Он, небось, вообще не думал что его васяноподелка кому-то нужна может оказаться. А оно - опачки, используется кое-кем третьим, у кого 40 миллионов загрузок (и кто ему, кстати, ничего не заплатит вообще). И таких лефтпадов слепленных на скорую руку из дерьма и... дерьма без единой палочки - полный пипи. Потому что "для того и брали", в том и смысл существования примитивных языков с миллионами лефтпадов, что всю твою работу за тебя выполнил миллион неведомых васянов с незаконченным средним образованием.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

40. Сообщение от Фрол (?), 11-Мрт-25, 09:15	+/–
товарищ ну вы то должны понимать что авторские права и права на распространение - это не муж и жена, а четыре разных человека? право идентифицировать себя, как автора произведения, оно и правда неотчуждаемое, а право на распространение, то самое копи- в копирайте - вполне себе отчуждаемое
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #61

41. Сообщение от Фрол (?), 11-Мрт-25, 09:19	–1 +/–
птушо что тебе предоставляют мит и жепль лицензии? не право считать себя Рав Моше Столлманом, например, право копировать его произведения в хвост и в гриву.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #62

42. Сообщение от Аноним (42), 11-Мрт-25, 09:20	+/–
> Выявивший проблему исследователь зарегистрировал новый пакет именем msgspec-python313-pre и продемонстрировал на практике возможность выполнения кода при установке Python JSON Logger с зависимостями Каким образом при установке зависимости выполняется код?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52

43. Сообщение от Аноним (43), 11-Мрт-25, 09:22	+/–
Подскажите, я у Rust с их crates ситуация получается аналогичной описываемой?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47, #50, #51

44. Сообщение от anonymous (??), 11-Мрт-25, 09:22	+1 +/–
Это разработчики python должны были предусмотреть возможность фиксации зависимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #57, #65, #67, #70

45. Сообщение от Аноним (45), 11-Мрт-25, 09:27	–1 +/–
Очень просто: ты ручками смотришь репозиторий перед использованием. Полная due digilence: лицензия (вы же не хотите вляпаться в GPL), pyproject.toml, далее исходники.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #49

46. Сообщение от Аноним (45), 11-Мрт-25, 09:27	+/–
Это твоя проблема, что ты его не создал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

47. Сообщение от Я (??), 11-Мрт-25, 09:38	+/–
на Раст такого нет, хакеры не могут выйти за блок unsafe, да и по памяти безопасность огромная, течёт, но не переиспользуется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #48, #64

48. Сообщение от Аноним (48), 11-Мрт-25, 09:43	+/–
зачем куда-то выходить? переписываешь пакет так чтобы он запрашивал явки и пароли пользователя и сливаешь их в облако
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

49. Сообщение от нах. (?), 11-Мрт-25, 10:13	+1 +/–
> ты ручками смотришь репозиторий перед использованием Угу, и все стопиццот зависимостей тоже. "pip это умеет!" (нет. И с точно тем же успехом ты мог бы смотреть в исходники с pypi. Но у тебя лапки и ты не умеешь кодить.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

50. Сообщение от нах. (?), 11-Мрт-25, 10:16	+/–
Там чуть сложнее - надо уметь кодить, на хрусте. И при этом еще и что-то накодить чего нет в стандартной библиотеке, а она далеко не пустая. Иначе твой крейт с нулем скачиваний никому не сможет навредить. Т.е. чисто технически ты можешь, но это уже будет не лефтпад и вот так выкрасить и выбросить тебе его будет жалко.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

51. Сообщение от Anony (?), 11-Мрт-25, 10:29	+/–
Нет, в расте запрещено удалять пакеты
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #56

52. Сообщение от Аноним (52), 11-Мрт-25, 10:43	+/–
Не хожу по ссылке, но по опыту предполагаю следующее. Питоновские пакеты имеют как правило конфигурационный setup.py, в котором основные настройки приведены. Оттуда можно при желании и скрипты запускать, которые выполняются на этапе установки/конфигурации пакета. Поэтому если один пакет устанавливает какую-то зависимость, то отрабатывается и setup.py (этой зависимости). Кто-то умудрился переназначить зависимость на свой пакет со своим содержимым setup.py. Да, это дыра в безопасности, но уязвимостью это называть язык не поворачивается. Так оно и должно работать. Вот чего не должно - тянуть зависимости без оглядки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

53. Сообщение от Аноним (53), 11-Мрт-25, 11:30	–2 +/–
всё делается просто - пакеты на pypi должны подписываться ключом разраба, который выкладывает. В зависимостях должен быть ключ для проверки. У каждого разраба свой ключ. вариант номер два - сложно и мутно, но фиксировать удаление/новые пакеты с тем же именем и не давать для пакетов, которые старше нового репа, подтягивать это в зависимостях. Т.е. заставлять обновить пакет + красным плевать, что пакет пересоздан
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #66

54. Сообщение от пох. (?), 11-Мрт-25, 13:22	+/–
Был неправ, признаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

55. Сообщение от Аноним (55), 11-Мрт-25, 13:43	+1 +/–
И кто будет проверять обновления сотен пакетов? Вот увидит разработчик, что после отпуска надо обновить три сотни пакетов - что он сделает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #59

56. Сообщение от Аноним (55), 11-Мрт-25, 13:47	+/–
> Нет, в расте запрещено удалять пакеты А если санкции?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #72

57. Сообщение от нах. (?), 11-Мрт-25, 15:35	+/–
А они и предусмотрели. Но васяны с лефтпадом этой возможностью не пользуются, потому что во-первых это совершенно ненужная им затрата времени, во-вторых с новой версией лефтпада может приехать устраненная уязвимость с тем же самым успехом, в-третьих васян вовсе может не предполагал невиданного узбека своего лефтпада, использующего десять других лефтпадов, а просто пилил для себя, и не собирается переживать из-за того что ты встроил его васян-код в свой скрипт управления системой NORAD. Такая возня с ручной фиксацией цифирек возможна только в корпоративной разработке, да и то если только под руку не толкают со сроками и фичами. (Т.е. невозможна даже и там.) Ну и у васяна под кроватью, но кому он нужен, ломать его...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

58. Сообщение от Аноним (58), 11-Мрт-25, 15:36	+/–
there is one way to do it во всей красе, ждём ещё прогрева питонистов на биткоины и бдсм для стада любитей единственных и неповторимых глобально-надёжно-питоничных решений.
Ответить | Правка | Наверх | Cообщить модератору

59. Сообщение от Смузихлеб забывший пароль (?), 11-Мрт-25, 16:04	+/–
суть вопроса неочевидна. Если блок уже есть - то он будет просто качаться безо всяких вопросов В остальном - имеет смысл перечитать исходный коммент, в котором нет упоминаний каких-либо проверяльщиков ибо он совсем о другом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #76

60. Сообщение от Ivan_83 (ok), 11-Мрт-25, 17:00	+/–
1. Я для того и написал взять ТОП, а потом спускатся по нему. Первые 50 наверное пошлют, а дальше остальные начнут думать и соглашатся, как бы до аукциона на понижение в итоге не дошло :) Цель то не взять вершину топа а любой или любые проекты у которых много потребителей. Вот указанная фигня явно была очень далеко от топа, но поломала коего кого что был выше. 2. Огребу что? Бан - дапофиг, для меня это как лишится читательского билета в мухосранске - потеря которая никак не ощущается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

61. Сообщение от Ivan_83 (ok), 11-Мрт-25, 17:09	+1 +/–
Так достаточно кинуть DCMA предъяву, чтобы ввели обеспечительные меры, а то что через месяц или год после судов и разборок это вернут на место - ваще пофик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

62. Сообщение от Ivan_83 (ok), 11-Мрт-25, 17:10	+/–
Право то оно право, только вот название придётся брать другое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

63. Сообщение от Аноним (63), 11-Мрт-25, 19:15	+/–
Смысл жизни – стать удобрением.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #73

64. Сообщение от OpenEcho (?), 11-Мрт-25, 21:52	+/–
> на Раст такого нет, хакеры не могут выйти за блок unsafe, да и по памяти безопасность огромная, течёт, но не переиспользуется. А еще там заблокированны операции по удалению и переименовыванию файлов, доступ к метадатам он ФС, из криптографии только Цезарь, и самое главное, там практически не возможно обфусцировать исходный код, в виду очень наглядной, прозрачной семантики языка, читается практически как натуральная речь, любым, кто освоил азбуку, т.ч. пользутесь крэйтами и не бойтесь. Непонятно зачем там вообще cargo-audit?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

65. Сообщение от Аноним (65), 11-Мрт-25, 22:57	+/–
почему они вам что-то должны ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

66. Сообщение от Аноним (66), 12-Мрт-25, 08:30	+/–
Или просто сохранять хеши пакетов вместе с версиями. Разошёлся хеш - останавливай установку, пусть юзверь разбирается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

67. Сообщение от Аноним (67), 12-Мрт-25, 09:42	+/–
> должны были предусмотреть В рамках суммы, уплаченной за дистрибутив.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

68. Сообщение от Аноним (67), 12-Мрт-25, 09:44	+/–
> Кстати, май инглиш из вери бэд Автоматическим переводчиком в браузере принципиально не пользуетесь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

69. Сообщение от Аноним (69), 12-Мрт-25, 21:21	+/–
> А я не использую PyPI. Ставлю через APT и через GitHub. Уже более 10 лет. Полёт нормальный. Шах и мат, подменщики зависимостей. Ты это можешь на своём локалхосте делать, а если проект публичный, то любой его пользователь наступит в лефтпад. Но чтобы это понимать надо писать что-то полезное за пределами своего локалхоста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

70. Сообщение от янеарабпростопохож (-), 12-Мрт-25, 23:10	+/–
На молотке не написано какой стороной гвозди забивать. Проблема тут в авторе пакета, который за зависимостями не следил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

71. Сообщение от Аноним (72), 13-Мрт-25, 20:36	+1 +/–
Вот всё в этом вашем линуксе не так: 100500 зависимостей и поставить другую версию рядом нельзя а установить с отсутсвующей зависимостью можно...
Ответить | Правка | Наверх | Cообщить модератору

72. Сообщение от Аноним (72), 13-Мрт-25, 20:37	+/–
Это другое, это понимать надо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

73. Сообщение от Смузихлеб забывший пароль (?), 14-Мрт-25, 09:28	+/–
> Смысл жизни – стать удобрением. "-Вот, помнишь, в 2005 году, в конце лета, ты ехал в поезде и тебя попросили передать сахар. -Да, я и передал. -Да, передал. Ты передал сахар. Вот в этом моменте смысл твоего существования и был и ты это исполнил, ты сделал то, для чего был создан и можешь этим гордиться"(с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

74. Сообщение от Смузихлеб забывший пароль (?), 15-Мрт-25, 09:00	+/–
Дело не конкретно в питоне, дело в принципе в работе с модулями и библиотеками. Прямо сейчас на конторе имеется эпический гемор с котлином и обновлением его зависимостей И это при, в осн, автоматической сборке А если каждую штуковину каждый участник проекта будет вручную ставить, проходя по 15-20 шагов редактирования разных файлов и перемещения данных по папкам ? Нет никакой гарантии. Проблема в том, что оно даже с трояном запросто может не завестись и придётся тратить день-неделю на оживление горы кодового мусора чтобы оно хоть как-то заработало
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #75

75. Сообщение от нах. (?), 15-Мрт-25, 16:26	+/–
> Дело не конкретно в питоне, дело в принципе в работе с модулями тут такоэ... чем неэффективней язык и чем больше ему требуется лефтпадов для самых простых задач - тем больше ты вынужден тянуть в проект, не разбирая уже мух от котлет. И это таки фича язычков быстрого прототяпляпирования, что лефтпадов много да еще и каждый день разные. > Нет никакой гарантии. Проблема в том, что оно даже с трояном запросто > может не завестись и придётся тратить день-неделю на оживление горы кодового > мусора чтобы оно хоть как-то заработало потому что пока ты копался - одна из стомиллионпицотых вложенных зависимостей внезапно обновилась на несовместимую версию. (совместимость - это тоже не про современную разработку ни разу) Так что изумлять должно не это, а наоборот - что в общем и целом-то иногда этот софт даже удается самому собрать, а не авторский докер в докере (в истории которого только FROM: srach - и весь этот srach подметен с пола авторского локалхоста в единственной-неповторимой позе, без малейшего понимания как оно вообще собралось) И нет, разумеется ты не сможешь вручную разобрать весь миллион зависимостей и разобраться в их содержимом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

76. Сообщение от Tron is Whistling (?), 16-Мрт-25, 16:32	+/–
Да нет, я как раз об этом самом. И блоки не помогут - тысячи хомячков просто продолжат сидеть на пакетах с дырками, переходить на другие-то лень.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема