The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выявлена подстановка вредоносной зависимости в пакет с ночными сборками PyTorch"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлена подстановка вредоносной зависимости в пакет с ночными сборками PyTorch"  +/
Сообщение от opennews (??), 01-Янв-23, 10:18 
Разработки фреймворка машинного обучения PyTorch предупредили пользователей о выявлении подстановки вредоносной зависимости, выполняемой при использовании пакета с ночными сборками проекта. Проблема затрагивает только пакет PyTorch-nightly, пакеты со стабильными выпусками не пострадали. Вредоносная зависимость распространялась с 25 по 30 декабря 2022 года и была нацелена на компрометацию Linux-систем разработчиков, использующих тестовые сборки PyTorch...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58416

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выявлена подстановка вредоносной зависимости в пакет с ночны..."  –2 +/
Сообщение от Аноним (1), 01-Янв-23, 10:18 
01.01.2023 09:49

https://www.youtube.com/watch?v=ZNeva4uNf4Q

Ответить | Правка | Наверх | Cообщить модератору

39. "Выявлена подстановка вредоносной зависимости в пакет с ночны..."  +1 +/
Сообщение от Аноним (39), 01-Янв-23, 15:45 
Повесить ему на шею баб, спиногрызов, кредитов, научить лакать спирт - и будет "настаящая нармальная жызнь, усё как усех".
Ответить | Правка | Наверх | Cообщить модератору

3. "Выявлена подстановка вредоносной зависимости в пакет с ночны..."  +/
Сообщение от pashev.ru (?), 01-Янв-23, 10:26 
> Для проверки наличия вредоносного пакета torchtriton можно использовать следующую команду

Которая снесёт вам хомяк 😂

Ответить | Правка | Наверх | Cообщить модератору

4. "Выявлена подстановка вредоносной зависимости в пакет с ночны..."  –2 +/
Сообщение от Аноним (4), 01-Янв-23, 11:26 
Там вроде всё по-русски написано, какие проблемы?
Ответить | Правка | Наверх | Cообщить модератору

121. "Выявлена подстановка вредоносной зависимости в пакет с ночны..."  +/
Сообщение от Admin (??), 02-Янв-23, 12:42 
Он к тому, что и в статью можно вбить какую-нибудь закриптованную ересь в финале дающую аналог rm -rf /
и тысячи параноиков, которые торчем даже не пользуются, вобьют его из под рута и будут наслаждаться процессом
Ответить | Правка | Наверх | Cообщить модератору

125. "Выявлена подстановка вредоносной зависимости в пакет с ночны..."  +/
Сообщение от Аноним (4), 02-Янв-23, 15:32 
А в чём дело? Это могут прочитать примерно 100% людей, базово освоивших питон. Никакой обфускации, не как с перлом, где проблема понять, что вообще происходит, даже если ты неплохо знаешь язык.
Ответить | Правка | Наверх | Cообщить модератору

5. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  –1 +/
Сообщение от Аноним (5), 01-Янв-23, 11:31 
> print('You are {}affected'.format('' if affected else 'not '))"

Как же противно читать код людей, которые сами себе умными кажутся.

Ответить | Правка | Наверх | Cообщить модератору

6. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (4), 01-Янв-23, 11:36 
Кстати, объясните, зачем люди пишут так, вместо f-строк, там же одинаковая уязвимость? Например, когда имя файла содержит фигурные скобки, это прекрасно проявляется.
Ответить | Правка | Наверх | Cообщить модератору

7. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (4), 01-Янв-23, 11:39 
Я могу придумать только бэкслеш-последовательности в f-строках под запретом, их над присваивать отдельной переменной и потом присоединять. Существуют какие-то ещё причины?
Ответить | Правка | Наверх | Cообщить модератору

12. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от bergentroll (ok), 01-Янв-23, 12:19 
Иногда для совместимости с Python<3.6.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

14. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +4 +/
Сообщение от Аноним (14), 01-Янв-23, 12:26 
f-строки - это вообще лютый культ карго, которые пихают везде и всюду. Есть у всяких поехавших такой стимул "мы хотим заставить наших пользователей обновить версию питона" (не об f-строках речь, а в общем, конкретно этот случай - когда в метаданных пакета были прописаны завышенные версии зависимостей). Вдумайся, эти поехавшие не только это хотят, а даже и не стесняются публично заявлять о том, что одна из их целей - нагадить части пользователей их пакета.
Ответить | Правка | Наверх | Cообщить модератору

21. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +2 +/
Сообщение от Аноним (4), 01-Янв-23, 12:45 
Наверно, как и с моржовым оператором, повышают удобочитаемость и простоту сопровождения. С питоном такая вещь, что есть только последний релиз, и всё остальное от лукавого. Что касается новости, то в питоне вообще сложно понять где нормальный пакет, а где не очень. Например, вот васянопакет который я довольно долго и продуктивно использую, но он поддерживает только 3.9 https://snyk.io/advisor/python/pycld3 а вот "официальный" пакет, загруженный непонятно кем https://snyk.io/advisor/python/gcld3 вот и выбирайте.
Ответить | Правка | Наверх | Cообщить модератору

23. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (14), 01-Янв-23, 13:10 
Чувствую, нужно написать автоматическую избавлялку от хренов моржовых.
Ответить | Правка | Наверх | Cообщить модератору

24. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (4), 01-Янв-23, 13:20 
Не взлетит, по многим причинам. Да и, например, раньше приходилось писать MappingProxyType({}), а в 3.10 уже можно {}.values().mapping и много такого. Минус лишние импорты, плюс чистота и читаемость кода.
Ответить | Правка | Наверх | Cообщить модератору

52. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  –2 +/
Сообщение от Аноним (-), 01-Янв-23, 18:13 
Перл повышает удобочитаемость и простоту сопровождения.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

26. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  –2 +/
Сообщение от Аноним (26), 01-Янв-23, 13:47 
Если в 2023 ты всё ещё пользуешь что-то старее 3.8 (последний, который умел в x86 под win7) и то чисто из-за легаси - попячся и убейся ап стену
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

35. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +3 +/
Сообщение от Аноним (14), 01-Янв-23, 14:59 
>Если в 2023 ты всё ещё пользуешь чем-то старее Windows 11

Пофрксил.

Ответить | Правка | Наверх | Cообщить модератору

37. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +1 +/
Сообщение от Аноним (14), 01-Янв-23, 15:03 
> 3.8 (последний, который умел в x86 под win7)

Что поделать - разрабы питона - поехавшие.

К счастью есть для 3.9 workaround в виде васяноdllки.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

54. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от псевдонимус (?), 01-Янв-23, 19:04 
Проще выкинуть на мороз пердон.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

111. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (-), 01-Янв-23, 22:47 
>последний, который умел в x86 под win7

BSD с сорцами ещё до ANSI C нервно курит в сторонке.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

25. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +3 +/
Сообщение от pashev.ru (?), 01-Янв-23, 13:46 
Вы все слабоумные. Надо писать:

if afffected:
  print ("You are affected")
else:
  print ("You are not affected")


Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

27. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  –2 +/
Сообщение от Аноним (4), 01-Янв-23, 13:51 
Кому надо и почему ты считаешь, что ты единственный на белом коне и в пальто? Как ты предлагаешь записать это в 1 строку, чтобы выполнить через -c? Ты, вообще, видел, во что превращаются эти чёртовы ёлочки?
Ответить | Правка | Наверх | Cообщить модератору

29. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +2 +/
Сообщение от pashev.ru (?), 01-Янв-23, 14:13 
>  записать это в 1 строку

И в чём я не прав?

Ответить | Правка | Наверх | Cообщить модератору

132. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +1 +/
Сообщение от Омномним (?), 03-Янв-23, 14:54 
С однострочниками у питонистов в силу значимых пробелов печаль-беда вообще.
Ответить | Правка | Наверх | Cообщить модератору

62. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Чулочник (?), 01-Янв-23, 19:29 
>чтобы выполнить через -c

Чтобы выполнить через -c, в одну строку сувать не надо.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

67. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (4), 01-Янв-23, 20:23 
Ты проверял, или местные эксперты нашептали?
Ответить | Правка | Наверх | Cообщить модератору

74. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Местный эксперт (?), 01-Янв-23, 20:45 
Это я сам нашёптываю тебе сам знаешь куда, проверяй :3
Ответить | Правка | Наверх | Cообщить модератору

75. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним123 (?), 01-Янв-23, 20:49 
Dedent и все отлично работает, но это ж надо документацию читать
Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

95. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (4), 01-Янв-23, 21:47 
Наверно, будет весело, когда из-за особенностей эмулятора терминала, прилетит rm -rf в репу.
Ответить | Правка | Наверх | Cообщить модератору

116. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Sem (??), 02-Янв-23, 00:32 
Dedent в однострочнике будет смотреться лучше? Ты серьезно?
Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

126. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от iPony129412 (?), 02-Янв-23, 16:45 
print("pony") if True else print("horse");
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

135. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +1 +/
Сообщение от AKNOR (?), 03-Янв-23, 20:41 
if ( afffected) THEN
  print *,"You are affected"

else
  print *,"You are not affected"
endif
STOP
Конечно же .

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

32. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 01-Янв-23, 14:53 
> Как же противно читать код людей, которые сами себе умными кажутся.

И что там так тебя ранило? Один из овер9000 способов вывести строку, в которой либо присутствует, либо отсутствует какой-то фрагмент. Не хуже других.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

134. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от жоск (?), 03-Янв-23, 18:02 
Ваша петанячья феласофия нарушена
Ответить | Правка | Наверх | Cообщить модератору

64. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (64), 01-Янв-23, 19:39 
Как же противно читать комментарии людей, которые сами себе умными кажутся.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

8. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (14), 01-Янв-23, 11:40 
>имеющий то же имя, что и пакет, размещённый в собственном репозитории PyTorch-nightly

Они там совсем кукухой поехали? Вот поэтому питорчем пользоваться и не надо.

Ответить | Правка | Наверх | Cообщить модератору

9. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  –2 +/
Сообщение от Аноним (14), 01-Янв-23, 11:56 
Проблема в том, что официальный способ установки питорча - это не использовать их репозиторий, а скачать wheel-пакеты с их сайта хочешь браузером, хочешь wget-ом, и поставить pipом. То есть по сути всё сработало именно так, как рекомендовано на их сайте.

Что даёт очнование полагать, что весь этот инцидент - by design. Страшно представить, что твориться со всеми остальными пакетами и в rust-экосистеме, где все зависимости качаются и всем на всё пофиг.

В общем, почалось. Это не первый раз, когда такое происходит с питоньими пакетами. И защититься от того, что сам сопровождающий кода скурвился, нельзя никак. Качая код всяких аморалок вы им полностью доверяете. Не хотите-не качайте. Разработку окупать надо. Не баннерами и майнером  - так вредоносами. Если вы не платите достаточно, то товар - это вы.

Ответить | Правка | Наверх | Cообщить модератору

15. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +4 +/
Сообщение от Аноним (15), 01-Янв-23, 12:30 
Если ты платишь товар это тоже ты.
Ответить | Правка | Наверх | Cообщить модератору

19. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  –1 +/
Сообщение от Аноним (14), 01-Янв-23, 12:33 
Если ты работодатель и платишь подчинённому, то товар - это он.
Ответить | Правка | Наверх | Cообщить модератору

151. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от 1 (??), 09-Янв-23, 11:37 
И если не платишь, то товар тоже он.
Ответить | Правка | Наверх | Cообщить модератору

34. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от YetAnotherOnanym (ok), 01-Янв-23, 14:58 
> Страшно представить, что твориться со всеми остальными пакетами и в rust-экосистеме, где все зависимости качаются и всем на всё пофиг

Можешь подсказать экосистему, в которой все до единого пакеты в репозитории проходят обязательную независимую (от автора) ревизию и верификацию перед размещением в общем доступе?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

100. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (-), 01-Янв-23, 22:10 
да, код-ревю на предприятии относительно мастера
Ответить | Правка | Наверх | Cообщить модератору

122. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +1 +/
Сообщение от Бздюк (?), 02-Янв-23, 12:50 
BSD семейство
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

10. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  –1 +/
Сообщение от Бывалый смузихлёб (?), 01-Янв-23, 12:00 
Но ведь, ну как же без своих потайных маня-пакетов и репозиториев просто с объявлением имени и версии пакета !?

Причём, в случае с тем же npm/yarn, свой уютненький локальный пакетик можно прописать с конкретной ссылкой на локальный каталог пакета - и оно будет тянуться исключительно оттуда невзирая ни на что, без всякого балагана с версиями. Это особенно актуально, когда требуется чуть допилить конкретный пакет под конкретный проект

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

20. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (14), 01-Янв-23, 12:35 
Да и в питоне так можно, вообще хоть на гит репозиторий - PEP 508, direct URL называется. Но ведь не сделано было.
Ответить | Правка | Наверх | Cообщить модератору

11. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Омномним (?), 01-Янв-23, 12:10 
PyTorch'нули на отличненько
Ответить | Правка | Наверх | Cообщить модератору

13. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +5 +/
Сообщение от Аноним (13), 01-Янв-23, 12:22 
пятифакторная небинарная аутентификация могла спасти от этой подставы
Ответить | Правка | Наверх | Cообщить модератору

17. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  –10 +/
Сообщение от Аноним (15), 01-Янв-23, 12:31 
А ещё можно просто пользоваться платными продуктами, которые полностью отвечают за безопасность и юридически и репутацией.  
Ответить | Правка | Наверх | Cообщить модератору

28. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +1 +/
Сообщение от Анонус (?), 01-Янв-23, 14:12 
А можно пример, как кто-то ответил юридически и репутацией? Мне всегда казалось чьл юридически закрепляют только СЛА, т.е. "мы обязуемся начать решать проблему как можно быстрее, но не гарантируем отсутствие проблем".
Ответить | Правка | Наверх | Cообщить модератору

145. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Michael Shigorinemail (ok), 05-Янв-23, 17:54 
> А можно пример, как кто-то ответил юридически и репутацией?

Тот же торчок в соседних темах пытался применить свой неандертальский опыт к аккаунтам на опеннете.  Решительно не понимаю -- как можно сперва искать проблем на свою задницу, а потом обижаться, когда они наконец прилетают...

Ответить | Правка | Наверх | Cообщить модератору

115. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +1 +/
Сообщение от mikhailnov (ok), 02-Янв-23, 00:22 
Привет от шифровальщика Пети
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

22. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +2 +/
Сообщение от Аноним (22), 01-Янв-23, 12:48 
И переписъ на Руст.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

55. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +1 +/
Сообщение от Dzen Python (ok), 01-Янв-23, 19:05 
*Мамай-клянус! Пакет читсый, сам духтор уэбом правирял, ага!*
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

16. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +7 +/
Сообщение от BrainFucker (ok), 01-Янв-23, 12:30 
То есть атакующие просто загрузили в репозиторий какой-то пакет, который там отсутствовал, но был упомянут в зависимостях пайторча?
Ответить | Правка | Наверх | Cообщить модератору

46. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от SilverCutePony (ok), 01-Янв-23, 17:16 
Нормальный пакет уже был в репозитории от разработчиков PyTorch, а злоумышленники загрузили пакет с таким-же названием в публичный репозиторий PyPI. Во время установки, менеджер пакетов видел, что в PyPI этот пакет новее и скачивал его вместо пакета от разработчиков
Ответить | Правка | Наверх | Cообщить модератору

48. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от BrainFucker (ok), 01-Янв-23, 17:25 
То есть это какая-то дыра в PyPI зачем-то позволяющая использовать одно и то же имя пакета разными людьми?
Ответить | Правка | Наверх | Cообщить модератору

53. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от SilverCutePony (ok), 01-Янв-23, 18:17 
> То есть это какая-то дыра в PyPI зачем-то позволяющая использовать одно и
> то же имя пакета разными людьми?

Нет. В PyPI до этого не было этого пакета вообще, его туда залили злоумышленники впервые. Скорее это дыра в менеджере pip, загружающего пакеты из другого источника без спроса, если там новее

Ответить | Правка | Наверх | Cообщить модератору

58. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +1 +/
Сообщение от Dzen Python (ok), 01-Янв-23, 19:14 
>  Скорее это дыра в менеджере pip, загружающего пакеты из другого источника без спроса, если там новее

Не дыра, а фича. Нужно качать, иначе соевый *прохраммистик* на циферки передернуть не сможет. Пока течёт его любимый лавандовый смуззи. Обидится. В твиттере напишет, поплачет в иссюях. Зачем тридцатилетнего ребенка с небинарным сознанием пятилетки в эко-френдли чунях расстраивать?

Ответить | Правка | Наверх | Cообщить модератору

61. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 01-Янв-23, 19:18 
Вопрос в другом: зачем качать новые версии просто так? Ну зафиксируйте вы версию, заморозьте версии всех пакетов.
Ответить | Правка | Наверх | Cообщить модератору

66. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +1 +/
Сообщение от Омномним (?), 01-Янв-23, 20:23 
В тяпляпс мирке сейчас так не модно, там модно разявить пасть и хлебать свеженькое прямо из трубы.
Добавить к этому васян-контейнеры с разных пабликов и торчащие из голого зада, тьфу, то есть голым задом редисы - но они всё равно за безопасность.
Ответить | Правка | Наверх | Cообщить модератору

68. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Омномним (?), 01-Янв-23, 20:25 
Еще модно навертеть всяких докеров с дыроформами для редеплоя инстансов каждые 15 минут, а потом внезапно выяснить, что в 2022 разные 6 центосы в инфре ещё до сих пор живее всех живых.
Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

69. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Омномним (?), 01-Янв-23, 20:27 
Патаму что сцYка воспроизводимость конь-фигу-рации, а переписывать всякие шаблоны инфрастукруты-а-ля-котэ от прошлого тяпляпса никто не берётся, потому что не понимает, что там нафиговерчено.
Ответить | Правка | Наверх | Cообщить модератору

70. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Омномним (?), 01-Янв-23, 20:32 
(и потом приходишь ты такой весь в белом, посылаешь нахер все пупошефы, и с матюгами перебираешь этот весь такой стройный и документированный недоляпс на девятку без особых проблем за трое суток... все два десятка инстансов... под коллективное обещание никогда больше не совать туда своих ансиблов, пока клубничные плейбуки не будут вылизаны до сверкающего блеска и читаемы каждым вторым школьником 9 класса школы с агротехническим уклоном)
Ответить | Правка | Наверх | Cообщить модератору

103. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Хру (?), 01-Янв-23, 22:13 
Стройный и документированный - это тогда не тяпляпс по определению. Тяпляпс это докер на 9 дебиане крутящийся годами без обнов а тело, его настроившее, слиняло незнамо куда :)
Ответить | Правка | Наверх | Cообщить модератору

109. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +3 +/
Сообщение от Аноним (-), 01-Янв-23, 22:30 
>а тело, его настроившее, слиняло незнамо куда

Обнови, чо как неродной? СТАНДАРТ ЖИ.

А тело, на самом деле, пошло скакать дальше с саксесс-стори за пазухой. Собрал образ, получил саксесс стори и ушёл в закат, пока не пришлось поддерживать. И на повышение.

Ответить | Правка | Наверх | Cообщить модератору

41. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (41), 01-Янв-23, 15:57 
Крах всей системы разработки с использованием публичных репозиториев. И Питона в частности.
Ответить | Правка | Наверх | Cообщить модератору

42. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +2 +/
Сообщение от Аноним (42), 01-Янв-23, 17:00 
До гуманитариев-самоучек только сейчас начинает доходить, то что было очевидным для инженеров с профильным высшим советским (качественным) образованием.
Ответить | Правка | Наверх | Cообщить модератору

45. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  –3 +/
Сообщение от Аноним (45), 01-Янв-23, 17:14 
Может быть светским, а не советским?
Ответить | Правка | Наверх | Cообщить модератору

80. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  –3 +/
Сообщение от Аноним (-), 01-Янв-23, 20:59 
Да, лучше светское образование, чем советское.
Ответить | Правка | Наверх | Cообщить модератору

146. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Michael Shigorinemail (ok), 05-Янв-23, 17:57 
Чем бы?  Так-то СССР кончился не на материальном фронте, а на духовном -- которого "не было"...
Ответить | Правка | Наверх | Cообщить модератору

128. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Neon (??), 03-Янв-23, 00:33 
С советским образованием люди заряжали банки с водой по телевизору от Чумака, лечились Кашпировским и верили свято в 1000% годовых))). И именно советские люди поменяли свою страну на дранные джинсы и жвачку. А некоторые даже дважды умудрились. Продать свою страну еще раз за кружевные труселя и туманные обещания рая в ЕС.))) Так что я бы не стал бы так уж уповать на советское образование.)))
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

136. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Бздюк (?), 04-Янв-23, 06:40 
Тем же самым занимаются люди с британским или американским образованием. Шизы точно так же выпускаются из израильских школ и ВУЗов. В Скандинавии поехавших не меньше. В целом по планете 1-5% населения страдают или наслаждаются шизофазией. Вот и вы туда же. Важнейший индикатор для выявления шиза это его огульные и нахрапистые обобщения.
Ответить | Правка | Наверх | Cообщить модератору

147. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Michael Shigorinemail (ok), 05-Янв-23, 17:58 
> Тем же самым занимаются люди с британским или американским образованием.
> Шизы точно так же выпускаются из израильских школ и ВУЗов. В Скандинавии
> поехавших не меньше. В целом по планете 1-5% населения страдают или наслаждаются
> шизофазией. Вот и вы туда же. Важнейший индикатор для выявления шиза
> это его огульные и нахрапистые обобщения.

Ээээ... не хотите USB-зеркальце?

Ответить | Правка | Наверх | Cообщить модератору

47. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (14), 01-Янв-23, 17:21 
У меня не советское, но мне тоже это было очевидно. Но приходится ставить скомпилированные другими бинарные пакеты, а не в чучхе играть.
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

117. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +1 +/
Сообщение от Бывалый смузихлёб (?), 02-Янв-23, 08:15 
Дело не в системе, а в отдельных обезьянах, которые не могут прописать локальные пути до локальных пакетов
Если это какой-то полувнутренний пакет - прописать конкретный адрес до него

Или, хотя бы, зафиксировать версию пакета а не «не ниже указанной и до мажорного обновления»

Ответить | Правка | Наверх | Cообщить модератору

148. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Michael Shigorinemail (ok), 05-Янв-23, 18:00 
> У меня не советское, но мне тоже это было очевидно. Но приходится
> ставить скомпилированные другими бинарные пакеты, а не в чучхе играть.

А ведь можно и собирать вместе с другими (которых в физиономию знаешь), и даже создавать при надобности... кто ж так заставляет?

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

49. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +2 +/
Сообщение от Аноним (49), 01-Янв-23, 17:58 
Воду зарядил?
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

72. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от anonymous (??), 01-Янв-23, 20:35 
рано, сначала бригадный подряд потом чудо конвейер глазника Федорова только потом "ставьте мази ставьте крЭмы я их заряжу". Желательно предварительный разогрев Бермудскими треугольниками с НЛО и Мумиём.
Ответить | Правка | Наверх | Cообщить модератору

87. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +1 +/
Сообщение от Аноним (-), 01-Янв-23, 21:29 
Если бы это было для этих инженеров очевидно, тогда они бы задались вопросом, почему в стране вместо нескольких экономических субъектов всего лишь один незаменимый.
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

127. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (127), 02-Янв-23, 16:48 
> Если бы это было для этих инженеров очевидно, тогда они бы

Инженеры ничего не решают, ни в "этой" стране, ни в какой-либо другой.

Ответить | Правка | Наверх | Cообщить модератору

129. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Neon (??), 03-Янв-23, 00:34 
Насчет качественного советского терзают смутные сомнения. Именно самые читающие люди заряжали банки с водой по телевизору от Чумака, лечились Кашпировским и верили свято в 1000% годовых))). И именно советские люди поменяли свою страну на дранные джинсы и жвачку. А некоторые даже дважды умудрились. Продать свою страну еще раз за кружевные труселя и туманные обещания рая в ЕС.))) Так что я бы не стал бы так уж уповать на советское образование.)))
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

137. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Бздюк (?), 04-Янв-23, 07:07 
Тем же самым занимаются люди с британским или американским образованием. Шизы точно так же выпускаются из израильских школ и ВУЗов. В Скандинавии поехавших не меньше. В целом по планете 1-5% населения страдают или наслаждаются шизофазией. Вот и вы туда же. Важнейший индикатор для выявления шиза это его огульные и нахрапистые обобщения.
Ответить | Правка | Наверх | Cообщить модератору

123. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (123), 02-Янв-23, 13:38 
Это просто локальная ошибка с приоритетами в конкретном менеджере пакетов.
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

44. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +2 +/
Сообщение от Аноним (45), 01-Янв-23, 17:04 
Современный мир программирования пробивает очередное дно.
Ответить | Правка | Наверх | Cообщить модератору

56. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +4 +/
Сообщение от Dzen Python (ok), 01-Янв-23, 19:07 
Не путай *современный мир программирования* и *стильно-модно-молодёжный кодинг на гитхуп с уиииил зависимостями в недорепозиторях*. Они рядом, но между ними есть непреодолимый водораздел
Ответить | Правка | Наверх | Cообщить модератору

130. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Neon (??), 03-Янв-23, 00:36 
Современный мир программирования построили студенты троечники, которые старые учебники не открывали. А если вдруг откроют, то их осенит, типа Java с виртуальной машиной. А ведь виртуальные машины были еще в Паскале с его Pi-кодом.))) И идеи виртуализации имеют бороду длиной до мейнфреймов 70х годов и ранее.
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

50. Скрыто модератором  –5 +/
Сообщение от Аноним (50), 01-Янв-23, 18:00 
Ответить | Правка | Наверх | Cообщить модератору

63. Скрыто модератором  +/
Сообщение от Аноним (64), 01-Янв-23, 19:37 
Ответить | Правка | Наверх | Cообщить модератору

65. Скрыто модератором  –1 +/
Сообщение от Аноним (50), 01-Янв-23, 20:10 
Ответить | Правка | Наверх | Cообщить модератору

73. Скрыто модератором  +/
Сообщение от Аноним (4), 01-Янв-23, 20:41 
Ответить | Правка | Наверх | Cообщить модератору

79. Скрыто модератором  +/
Сообщение от Аноним (50), 01-Янв-23, 20:58 
Ответить | Правка | Наверх | Cообщить модератору

81. Скрыто модератором  +/
Сообщение от Аноним (4), 01-Янв-23, 21:04 
Ответить | Правка | Наверх | Cообщить модератору

83. Скрыто модератором  +/
Сообщение от Аноним (50), 01-Янв-23, 21:09 
Ответить | Правка | Наверх | Cообщить модератору

86. Скрыто модератором  +/
Сообщение от Аноним (4), 01-Янв-23, 21:25 
Ответить | Правка | Наверх | Cообщить модератору

104. Скрыто модератором  +/
Сообщение от Аноним (-), 01-Янв-23, 22:14 
Ответить | Правка | Наверх | Cообщить модератору

105. Скрыто модератором  +/
Сообщение от Аноним (4), 01-Янв-23, 22:22 
Ответить | Правка | Наверх | Cообщить модератору

108. Скрыто модератором  +/
Сообщение от Аноним (-), 01-Янв-23, 22:26 
Ответить | Правка | Наверх | Cообщить модератору

106. Скрыто модератором  +/
Сообщение от Аноним (4), 01-Янв-23, 22:24 
Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

82. Скрыто модератором  +/
Сообщение от Аноним (4), 01-Янв-23, 21:07 
Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

85. Скрыто модератором  +/
Сообщение от Аноним (50), 01-Янв-23, 21:21 
Ответить | Правка | Наверх | Cообщить модератору

92. Скрыто модератором  +/
Сообщение от Аноним (-), 01-Янв-23, 21:43 
Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

94. Скрыто модератором  +/
Сообщение от Аноним (-), 01-Янв-23, 21:47 
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

99. Скрыто модератором  +/
Сообщение от Аноним (4), 01-Янв-23, 21:52 
Ответить | Правка | Наверх | Cообщить модератору

107. Скрыто модератором  +/
Сообщение от Аноним (-), 01-Янв-23, 22:24 
Ответить | Правка | Наверх | Cообщить модератору

51. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (-), 01-Янв-23, 18:12 
Удобненькие язычки с удобненькими пакетными менеджерами.
Ответить | Правка | Наверх | Cообщить модератору

57. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (57), 01-Янв-23, 19:12 
Всё норм, торчём никто не пользуется, он для отсталых, всё пользуются тензорфлоу, (или даже wabbit).
Ответить | Правка | Наверх | Cообщить модератору

59. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +1 +/
Сообщение от Вы забыли заполнить поле Name (?), 01-Янв-23, 19:15 
А где подборка самых значимых событий года? В этом году не будет?
Ответить | Правка | Наверх | Cообщить модератору

89. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  –6 +/
Сообщение от Аноним (-), 01-Янв-23, 21:34 
О том, что зарубежные производители российских процессоров не пускают российские процессоры на Россию, писать стыдно.
Ответить | Правка | Наверх | Cообщить модератору

93. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +3 +/
Сообщение от Аноним (45), 01-Янв-23, 21:44 
Да уж, TSMC в минувшем году пробило дно, это правда...
Ответить | Правка | Наверх | Cообщить модератору

97. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +1 +/
Сообщение от Аноним (-), 01-Янв-23, 21:49 
Пакет рошенок на TSMC не обнаружили?
Ответить | Правка | Наверх | Cообщить модератору

60. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Dzen Python (ok), 01-Янв-23, 19:16 
А вообще интересно не это - интересно почему это поведение в принципе разблокировано по дефолту? Вместо организационной соли - когда нужно явно руками указать для кокретного пакета разрешение обновляться из всех доступных источником, а не из того, что прописан жёстко.
Ответить | Правка | Наверх | Cообщить модератору

88. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (-), 01-Янв-23, 21:31 
>интересно почему это поведение в принципе разблокировано по дефолту?

А это чтобы удобненько было.

Ответить | Правка | Наверх | Cообщить модератору

118. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +1 +/
Сообщение от Бывалый смузихлёб (?), 02-Янв-23, 08:19 
А как тогда в чужие системы пролезать, если такие дыры прикроют !?

Вообще, если внимательно присмотреться к западному подходу к делам, оказывается что там дырявое как сыр всё, начиная даже с процов и, скорее всего, это не просто так. Причём, очень многие простые решения несравненно повысили бы безопасность, но сделано исключительно вопреки этому.

Возможно, не просто так в сша стратегические направления ОПК до сих пор работают на железе прошлого века и соотв ПО

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

133. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  –1 +/
Сообщение от Омномним (?), 03-Янв-23, 14:55 
Вообще если внимательно присмотреться - у них хотя бы есть эти решения, а не только пальцезагибание про безопастность.
Ответить | Правка | Наверх | Cообщить модератору

138. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  –1 +/
Сообщение от Бздюк (?), 04-Янв-23, 07:10 
Если внимательно присмотреться, то у них и население более миллиарда -- это только ЕС и США с лимитрофами. А не 140 млн. Соотв. и рынок больше и голов с руками больше. Про более тёплый и ДЕШЁВЫЙ ДЛЯ ЖИЗНИ климат даже не пишу -- это обязан знать любой школьник (вы-то, конечно, забыли, но я напоминаю)
Ответить | Правка | Наверх | Cообщить модератору

139. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  –2 +/
Сообщение от Омномним (?), 04-Янв-23, 11:03 
Танцор, яйца, вот это всё. В Финляндии и Норвегии про климат - однозначно.
Ответить | Правка | Наверх | Cообщить модератору

140. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Бывалый смузихлёб (?), 04-Янв-23, 12:44 
> Танцор, яйца, вот это всё. В Финляндии и Норвегии про климат -
> однозначно.

И какие у них решения «для безопасности» ?

Какие на западе вообще есть железобетонные решения для этого ?
Был касперыч - и того выгнали под надуманным предлогом. А то, что на десятке система по умолчанию любые подозрительные ей штуки на неизвестные сервера шлёт да кряки без запроса удаляет - так этодругое

Ведь, дырявое всё, вплоть до оси, процов и всяких цисок
Даже если будет мощный антивирус, при некоторых неучтенных дырах в проце, запросто пролезут в его память и повертят так, как в детстве на каруселях не крутили

Ответить | Правка | Наверх | Cообщить модератору

141. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Омномним (?), 04-Янв-23, 15:21 
> И какие у них решения «для безопасности» ?

Давай хотя бы с простого начнём: с OpenSSL.
Двинемся в сеть - и увидим Flowmon, Arbor, ...
Двинемся в конечные узлы - и увидим Sophos, Barracuda, ...

Ответить | Правка | Наверх | Cообщить модератору

149. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Michael Shigorinemail (ok), 05-Янв-23, 18:04 
>> И какие у них решения «для безопасности» ?
> Давай хотя бы с простого начнём: с OpenSSL.

Да уж, где SSL, а где безопасность -- разве что как раз "безопасность", вот тут Вы правы.

Ответить | Правка | Наверх | Cообщить модератору

150. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Омномним (?), 05-Янв-23, 19:04 
Ну да, давайте всё плейнтекстом. Лично с банковской картой плейнтекстом онлайн поработать готовы?
Ответить | Правка | Наверх | Cообщить модератору

143. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Омномним (?), 04-Янв-23, 15:26 
Если ты конкретно за Финляндию с Норвегией - для начала увидим ведро :)
Потом Aves, Missing Link, Mnemonic, Netsecurity, Orca (ну эту-то уж стыдно не знать), Lambda Networks, Capricode Oy, Assa Abloy (тоже стыдно не знать), Anviz, nSense (ы?), и т.п.
Ответить | Правка | К родителю #140 | Наверх | Cообщить модератору

90. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +2 +/
Сообщение от Аноним (45), 01-Янв-23, 21:39 
Обколются смузями, а потом вытворяют чёрт-те что...
Ответить | Правка | Наверх | Cообщить модератору

98. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  –2 +/
Сообщение от Аноним (-), 01-Янв-23, 21:50 
А тебе и завидно :3

Вакцинироваться, гражданин, не желаете? Снимайте штанишки, сейчас мы вас вакцинировать будем.

Ответить | Правка | Наверх | Cообщить модератору

110. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +2 +/
Сообщение от Аноним (-), 01-Янв-23, 22:34 
А что вы ожидали, ставя пакет, в котором есть слово "торч"?
Ответить | Правка | Наверх | Cообщить модератору

113. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Dzen Python (ok), 01-Янв-23, 23:54 
Torch == Факел.
Хотя и перевод тоже с эффектом телепорно...
Ответить | Правка | Наверх | Cообщить модератору

119. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  –1 +/
Сообщение от Аноним (41), 02-Янв-23, 10:15 
чья вообще была идея хранить код (святая святых) на сервере чужого, иногда неуважаемого, дяди?
Ответить | Правка | Наверх | Cообщить модератору

120. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (120), 02-Янв-23, 12:26 
> pip пытается загрузить внутренние зависимости и из публичных репозиториев

Как необычно! (нет)

Ответить | Правка | Наверх | Cообщить модератору

144. "Выявлена подстановка вредоносной зависимости в ночные сборки..."  +/
Сообщение от Аноним (144), 05-Янв-23, 16:17 
Кстати, firejail + его правила во многом бы сократили ущерб. Обычным процессам нельзя иметь доступ к чуствительным файлам.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру