| 1.2, Аноним (2), 08:33, 21/05/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Так зачем их проверять или ещё как-то допускать, просто смотри схожесть название и всё. Сразу из-за того что название похоже отбрасывать. Почему так нельзя сделать? То же самое расстояние Левенштейна допустим взять, если похожее имя есть, всё, типа, до свидания. Вот и всё
| | |
| |
| 2.4, Аноним (4), 08:48, 21/05/2023 [^] [^^] [^^^] [ответить]
| +5 +/– |
Это очень плохой вариант, так как схожее имя пакета это не признак вредоноса. Это одно из рациональных свойств.
В действительности эту проблему может решить SAST какой нибудь, и то частично.
| | |
| |
| |
| 4.68, Аноним (68), 07:27, 22/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
> всего с 2019 года число выявленных вредоносных пакетов превысило 115 тысяч
> Вредоносные действия обычно сводятся к отправке конфиденциальных данных, найденных на локальной системе в результате определения типовых файлов с паролями, ключами доступа, криптокошельками, токенами, сессионными Cookie и другой конфиденциальной информацией.
Да. Надо при регистрации все данные прогонять через автоматизированную систему поиска подозрительных пакетов. Отличие названий и/или имен на 1 букву или перестановка букв есть повод для автоматической блокировки. Пусть в ручном режиме связываются и доказывают что проект не вирусный.
Сканирование SAST, антивирусом исходных текстов проекта требует значительных вычислительных ресурсов.
Активно поощрять использование подписей OpenPGP.
| | |
|
|
| 2.7, Аноним (7), 09:21, 21/05/2023 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Сразу видно, что Вы никогда не подбирали свободное, короткое и международно-говорящее имя своему Python пакету.
Допустим, Вы написали эффективную реализацию библиотеку для работы с файлами *.toml, поддерживающую загрузку и выгрузку комментариев. Как Вы её назовёте?
toml, tomli, tomli-w, tomlkit, toml-tools, toml-file, toml-python -- на PyPI уже заняты. Вот tomllib свободно, но это создаст путаницу с модулем tomllib стандартной библиотеки.
| | |
| |
| 3.9, ыы (?), 09:55, 21/05/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
наверное стремление к короткому и говорящему в мире тотального копипаста- высосано из пальца.. или еще откуда...
| | |
| |
| 4.18, Аноним (7), 10:40, 21/05/2023 [^] [^^] [^^^] [ответить]
| +4 +/– |
Нет. Это критерий имеющий значение для любых OpenSource проектов, которые хотят чтобы их название было легко запомнить, легко нагуглить и не сделать 3 опечатки в названии при установке.
| | |
| |
| |
| |
| 7.43, Аноним (43), 14:06, 21/05/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Все мы копипастим. Не ври себе: не жить в мире копипаста - это жить без интернета или даже вернуться в эпоху до печатного станка.
| | |
|
|
|
|
| 3.15, Аноним (15), 10:24, 21/05/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
Наверно больше не надо делать таких библиотек. Твой 22-ой лефтпад никому не нужен. Ты не должен его не то что называть, но и делать и публиковать. Это очевидно всем.
| | |
| |
| 4.20, Аноним (7), 11:11, 21/05/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
Вот из-за таких вот советчиков экосистема Python скатывается в сторону коробочных решений для типовых задач по перекладыванию типового JSON'а между типовыми микросервисами типовых коммерческих компаний.
| | |
| |
| 5.26, Аноним (15), 11:43, 21/05/2023 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Искренне не понимаю почему экосистема с самого начала не коробочное решение. Пусть даже бы и платная. Все эти кодопомойки с зондами без какой либо даже формальной модерации ненужны.
Было бы дело если бы этот пипи делал так: Ваш пакет отклонен как малофункциональный, ваш пакет отклонен так как у вас низкая квалификация. Это уже могло бы иметь смысл.
| | |
| |
| 6.34, Аноним (7), 12:42, 21/05/2023 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Искренне не понимаю почему коробочные решения законодательно не запрещены.
Берёшь коробочное решение, что обещает легко и непринуждённо решить 95% твоих задач -- и оно действительно позволяет легко и непринуждённо решить 95% твоих задач, пусть и с плагинами.
Начинаете реализовать оставшиеся 5%... погружение в исходники коробочного решения... страшная боль... написание своих расширений... форки чужих расширений... костыли... манки-патчинг коробочного решения... стыд... реализация части функциональности где-то сбоку... стыд...
| | |
| |
| 7.56, Аноним (56), 17:55, 21/05/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если для тебя допиливание коробок боль и стыд, то уступи работу более опытному и стрессоустойчивому дяденьке.
| | |
|
|
| 5.28, ыы (?), 11:44, 21/05/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
это ключевая идея всего мира программирования с начала его появления. написать код который будет работать многократно. отсюда и библиотеки... вы против существования glibc?
| | |
| |
| 6.35, n00by (ok), 13:01, 21/05/2023 [^] [^^] [^^^] [ответить]
| –3 +/– |
 > вы против существования glibc?
Создание аналога не ущемляет права glibc, поскольку целит в те ниши, куда glibc не подходит. А вот попытка свести техническую необходимость к риторике леваков как бы намекает.
| | |
| 6.36, Аноним (7), 13:15, 21/05/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Термин "коробочное решение" происходит от фразы "всё (уже доступно) из коробки".
Причём, как правило, то что доступно из коробки:
1) Нельзя установить отдельно от остальных компонентов из той же коробки.
2) Зависит от других компонентов из той же коробки.
3) Навязывает готовую архитектуру.
4) Имеет десятки, а порой сотни тысяч строк исходников.
5) Подкупает простотой и скоростью разработки в типовых задачах.
6) Накладывает своеобразный вендор-лок, так как практически весь написанный Вами код использует богатый функционал из коробки.
7) Осложняет решение задач, о которых авторы коробочного решения просто не подумали.
То есть, речь была о больших фреймворках.
| | |
| |
| 7.69, ыы (?), 07:38, 22/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
яблочники вас бы не поняли. жить в коробочном решении настолько классно и здорово- что ваши камни в их огород просто рассыпаются в воздухе не долетая... конечно если "коробка нарисована так, что вам хочеться ее лизнуть" :)
| | |
|
|
|
| 4.71, Мёртвый (?), 09:08, 22/05/2023 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Есть люди, которые не в курсе, что любую задачу в программировании можно решить как минимум тремя способами. При этом нет никакой гарантии, что все эти способы будут одинаково удобны при повторном применении в разных ситуациях, одинаково масштабируемы, одинаково оптимизированы.
Возможно этим людям будет сложно свыкнуться с мыслью, что под их определение ненужности попадают одновременно и Django, и Flask, и FastApi, и даже aioHttp тк с помощью всех них можно реализовать веб-приложение, а значит следуя логике подобных людей, эти библиотеки не нужны. Так же как не нужен к примеру DRF - ведь функционал для сериализации, десериализации, обработки post и get запросов достаточен и имеется в ванильной джанге. логика она такая... логичная...
| | |
|
| |
| 4.41, serg1224 (ok), 13:52, 21/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
 Расскажите кто-нибудь питонистам про пространства имён и иерархический нейминг в стиле "com.google.re2", "org.samba.msrpc", "vasya_pupkin.xml" и т.п.
Таким образом видно какие задачи библиотека решает и от какого вендора она. Имя вендора можно привязать к учётке в PyPI.
У джавистов опыт богатый, можно подглядеть подробности как там поступают.
| | |
| |
| 5.42, Аноним (7), 14:04, 21/05/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Вася написал классный vasya_httpserver.
Петя написал классный petya_datavalidator.
Гриша решил упростить их интеграцию своим grisha_vasyahttpserver_petyadatavalidator.
Потом всех троих сбил автобус. Вопрос, как назвать форки?
| | |
| |
| 6.86, serg1224 (ok), 07:14, 23/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Вася написал классный vasya_httpserver.
> Петя написал классный petya_datavalidator.
> Гриша решил упростить их интеграцию своим grisha_vasyahttpserver_petyadatavalidator.
> Потом всех троих сбил автобус. Вопрос, как назвать форки?
Форк - это иное авторство проекта, внутри может быть всё переделано на усмотрение нового разработчика. По сути, из общего с проектом-предком может остаться только цель проекта, да и то в каком-то подмножестве. Пусть будет, например, Kostya.MegaBoostServer. Если проект докажет временем свою состоятельность, то люди запомнят его. Мы же как-то запомнил nginx, zabbix и прочие Eclipse.
| | |
|
| 5.53, Аноним (53), 16:43, 21/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
Или как в Go, использовать библиотеки по ссылке, к примеру, "github.com/BurntSushi/toml" или "go.mongodb.org/mongo-driver/mongo"
| | |
| |
| 6.79, YetAnotherOnanym (ok), 10:57, 22/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
 > Или как в Go, использовать библиотеки по ссылке, к примеру, "github.com/BurntSushi/toml"
> или "go.mongodb.org/mongo-driver/mongo"
Все ссылки будут на pypi, и опечатка будет точно так же приводить к существующему вредоносному пакету.
| | |
|
|
|
| |
| 4.62, Аноним (7), 01:54, 22/05/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Скорее fast-commented-toml, так как комментарии без остального содержимого бесполезны, функция загрузки (load) с комментариями имеет мало смысла без функции выгрузки (dump) с комментариями, а основным недостатком существующего tomlkit является скорость парсинга.
| | |
|
| 3.78, YetAnotherOnanym (ok), 10:31, 22/05/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> toml, tomli, tomli-w, tomlkit, toml-tools, toml-file, toml-python -- на PyPI уже заняты
А вот нефиг велосипедингом заниматься.
Вообще, очень показательный пример положения дел в питономире - уже написаны toml, tomli, tomli-w, tomlkit, toml-tools, toml-file, toml-python, а всё равно приходится писать новую эффективную реализацию библиотеку.
И - да, показательно, что слова "parser" ("toml-parser") никто из авторов этих библиотек не знает.
| | |
|
| 2.11, ыы (?), 10:00, 21/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
лучше продавать... чем ближе похожесть- тем выше цена....
| | |
| |
| 3.25, Аноним (7), 11:42, 21/05/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Это чтобы разработчики из некоммерческих организаций не могли выкладывать свои велосипеды под короткими и запоминающимся названиями, а разработчики из уважаемых бизнес-структур могли?
Причём заметим, деньги как универсальный критерий может сильно завышать ценность тех, кто специализируется на максимизации денежной прибыли и минимизации денежных расходов.
Соответственно, наиболее привилегированны оказываются социальные паразиты. Получать на порядок больше ресурсов, чем отдаёшь -- это суть как биологического, так и экономического паразитизма.
| | |
| |
| 4.30, Аноним (15), 11:46, 21/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
Те кто генерирует деньги оказывается паразиты, а ты выкладывающий 22-ой раз либу для томл не паразит. У тебя типичная психология паразита, думать что вокруг тебя паразиты, а ты сам не паразит.
| | |
| |
| 5.37, Аноним (7), 13:25, 21/05/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Все неравновесные динамические системы в какой-то степени паразиты.
Однако, Выше я дал более узкое определение.
| | |
| 5.49, Аноним (7), 14:53, 21/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Получать на порядок больше ресурсов, чем отдаёшь -- это суть <...> паразитизма.
> Те кто генерирует деньги оказывается паразиты
И.И. -- искусство интерпретации =))
| | |
| 5.72, Мёртвый (?), 09:14, 22/05/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
те кто генерируют деньги не создавая ничего полезного - да, паразиты, тк генерируя деньги для себя они смещают концентрацию денежной массы в свою сторону не увеличивая общей ценности денежной массы.
| | |
|
| 4.31, ыы (?), 11:49, 21/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
позволять выбирать удобные имена не прося за это денег - как раз и есть стимуляция паразитов. занял человек удобное имя задарма - а потом продал имя проекта втридорога. паразит? паразит.. но такие паразиты вам почемуто нравятся... почему?
| | |
| |
| 5.38, Аноним (7), 13:26, 21/05/2023 [^] [^^] [^^^] [ответить]
| +/– | |
А если у человека нет лишних денег?
А если человек живёт не в той стране?
| | |
| 5.61, Аноним (61), 01:11, 22/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
А ты случайно не киберсквоттер? Те тоже на себя по 100500 доменов регистрируют, а потом ими барыжат.
| | |
|
|
|
|
| 1.3, Аноним (3), 08:44, 21/05/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– | |
> отправку конфиденциальных данных
А selinux у вас, надо полагать, выключен
| | |
| 1.8, Аноним (7), 09:28, 21/05/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> ... в результате определения типовых файлов ...
Ха-ха, а ещё говорят, что порт SSH на нестандартный порт переносить бессмысленно.
Чем более странно и необычно у Вас на машинах всё устроено, тем сложнее у Вас что-то украсть... А ещё, тем уникальнее и ценнее Ваша экспертиза для вашего работодателя =))
| | |
| |
| 2.10, ыы (?), 09:57, 21/05/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
то есть вы занимаетесь пере-пере-переконфигурациями всего и всея... а работаете вы когда?
| | |
| |
| 3.14, Аноним (7), 10:12, 21/05/2023 [^] [^^] [^^^] [ответить] | –1 +/– | Как минимум 1 По-возможности, не использую стандартные порты Соответственно, ... большой текст свёрнут, показать | | |
|
| |
| 3.40, Аноним (7), 13:37, 21/05/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Задача:
1. Вы обнаружили 0day уязвимость в OpenSSH, позволяющую получить root-доступ к машине.
2. Ваш многочисленный ботнет можно легко обновить для использования этой уязвимости.
3. Вы знаете, что атака вызовет защитные меры (временные решения, а затем патчи).
Вопрос. Будете ли Вы перебирать все порты на всех машинах при проведении атаки, если у всех нормальных людей SSH висит на порте 22?
| | |
| |
| 4.51, Аноним (33), 16:21, 21/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
Интересно, по машинам каждый раз прогоняют ботнет, на каждую новую уязвимость, или заранее собирают базы установленного софта, портов, и т.д.?
| | |
| |
| 5.57, Аноним (7), 00:20, 22/05/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Поддерживать базу данных узлов, портов и результатов пробного подключения SSH/RDP в максимально полном и актуальном состоянии -- это довольно нетривиальная техническая задача.
При этом, в мире всё ещё доминирует IPv4, а большинство админов не меняет порты SSH, RDP, OpenVPN.
Поэтому сильно проще каждый раз распределённо прогонять ботнет, тем самым наращивая его.
| | |
|
|
|
|
| |
| 2.24, Аноним (24), 11:34, 21/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
В сети существуют такие сервисы, называются, прокси. Вооот, отправляешь им байтики, а они от своего имени уже отправляют куда ты хочешь и возвращают тебе в ответ что там есть сказать той стороне.
| | |
| |
| |
| 4.46, Sergey (??), 14:37, 21/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
Не обращай внимания, он не в курсе что такое проки и как проходит регистрация в pypi.
| | |
|
|
|
| 1.55, gefest (??), 17:45, 21/05/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Предлагаю платную премодерацию, скромный залог эдак в 50000$ ну и маленькое изменение в api, чтоб из подписанныйх и проверенных пакетов можно было бы вызывать только подписанные и проверенные ...
И заживем, по энтерпрайзу заживем !!
| | |
| |
| 2.65, Аноним (65), 02:52, 22/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
Подход докера в этом плане вполне удачный: пакеты малоизвестных авторов должны включать имя автора, чтобы получалось что-то типа "pip install google/tensorflow", а когда автор уже "сделал себе имя", то имя можно не указывать.
| | |
| |
| 3.70, ыы (?), 08:42, 22/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
что помешает создать проект gooogle/tensorflow ?
| | |
| |
| 4.73, Аноним (7), 09:18, 22/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
Вероятно, помешает regular expression или проверка на вхождение подстроки.
| | |
| |
| 5.82, ыы (?), 14:10, 22/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
тогда почему этот regular expression или проверка на вхождение подстроки не защитит от rensorflow ?
| | |
|
| 4.74, Мёртвый (?), 09:21, 22/05/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
ничто не помешает, но подделка названий непопулярных пакетов мало что даст злоумышленнику.
| | |
|
|
|
| |
| 2.64, Аноним (7), 02:15, 22/05/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Какой смысл во всех этих, никем нерецензируемых, видеохостингах? 99,999% там мусор.
| | |
| |
| 3.80, YetAnotherOnanym (ok), 11:10, 22/05/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Какой смысл во всех этих, никем нерецензируемых, видеохостингах? 99,999% там мусор.
Пабрацки, скинь ссылу на видеоролик, который умеет пароли находить и хозяину отсылать.
| | |
| 3.85, Аноним (85), 23:35, 22/05/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Какой смысл во всех этих, никем нерецензируемых, видеохостингах? 99,999% там мусор.
Все побежали, и я побежал.
| | |
|
|
| |
| 2.81, ОШИБКА Отсутствуют данные в поле Name (?), 13:13, 22/05/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Пухтон, вообще-то. Придуман мальчиком, ушедшим от родителей в джунгли, поссорившись из-за того что те не хотели вместо NULL говорить "ай нонэ-нонэ" и смешно приплясывать. В качестве исключения был принят в семью змей и raised ими. Приютившим его рептилоидам взамен поклялся переименовать все ключевые слова во всех языках программирования на что-нибудь несуразное и засыпать планету синтаксическим сахаром.
| | |
|
| 1.84, Аноним (85), 23:33, 22/05/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Навеяло про Снэпы, про давайте станем легче с зависимостями, пусть в блобе прилетают на автопилоте, не беспокоя людей нагрузкой понимания, что ж код-то делает и принёс-то кто.
Вот и тут - свободный проход...
| | |
| 1.87, Аноним (87), 22:14, 23/05/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Логичный конец любого немодерируемого репозитория - суть помойки. Пора делать обязательную модерацию и сеть доверия. Надеюсь, AUR та же судьба постигнет, тогда, глядишь, можно начать рассматривать Arch как дистрибутив.
| | |
|
