| 1.1, Аноним (1), 20:01, 10/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– | |
> не уведомив разработчиков зависимых пакетов
а должен был? это же опенсорс, детка, здесь и удалить своё репо могут
| | |
| 1.2, Ivan_83 (ok), 20:07, 10/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > выявлена уязвимость (CVE-2025-27607)
В чём уязвимость то!?
Причём тут вообще какой то питон логер!?
Это проблема системы установки зависимостей самого питона допускающая атаку на цепочку поставок.
В общем репутация CVE скамеров помножается на ноль.
| | |
| |
| 2.12, Аноним (1), 21:21, 10/03/2025 [^] [^^] [^^^] [ответить]
| –3 +/– | |
тебе никогда не стать фрибзд комиттером, как бы ты не старался
цве нужен для того, чтобы когда человек прочёл заафекченные версии, мог сразу понять - он скорее всего заафекчен, а вот версия Х+1, где зависимость убрали\изменили - она уже безопасна
| | |
| |
| 3.24, Ivan_83 (ok), 00:00, 11/03/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Чувак, мне им никогда не стать потому что я уже и не хочу давно. Да и раньше не очень сильно хотел.
А если ты навешиваешь CVE по зависимости - то тебе надо навешивать её не на одну нещастную либу а на все проекты где эта зависимость есть. Мне чото кажется таких проектов должно быть больше одного.
Но вообще, я не видел раньше чтобы CVE вешали вот так.
В том же ffmpeg да и прочих популярных либах ни раз что то находили, но никогда не приходили к проектам которые эти либы юзают.
| | |
|
|
| |
| 2.4, Ivan_83 (ok), 20:32, 10/03/2025 [^] [^^] [^^^] [ответить]
| +4 +/– |
Да вот так.
Смотри какой прикол: я беру пачку денег которые охота сжечь ради лулзов, открываю топ этого вашего пипа, дальше пишу авторам: куплюк ваш проект прям сегодня за $10к.
Кто то с первой сотни по любому согласится.
Дальше я туда или коммичу фигню ломающую всё, ну типа оставляю только coc.md, или пихаю майнер или грохаю репу.
А дальше ловлю лулзы с телека про то как всё везде сломалось.
Притом с случае coc.md мне и предъявить то нечего: я честно купил, дальше делаю что хочу со своим проектом.
| | |
| |
| 3.9, Аноним (9), 20:54, 10/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Подобная шляпа решается версионированием, а точнее запретом (платформы хостинга репозитария) на изменения\удаление архивных версий. Ну а что вы хотели, ваш проект зависимостями задействован в другом ПО.
Ну т.е. в кюррент "20250319_6.8.24" ты изменения писать конечно можешь, а вот подменить\удалить архив(20210101_01.1.1.) - ты уже не должен иметь прав вообще.
Вопрос лишь во времени заморозки - через день-два, или неделю.
Удивлен, если в Пипи это не реализовано. Хотя что с них взять, вечно думают в шлангах и гейтах, вместо безопасности.
| | |
| |
| 4.21, пох. (?), 23:36, 10/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> вы хотели, ваш проект зависимостями задействован в другом ПО.
DMCA takedown, и удалишь как миленький. (авторские права? Неаааа, не слышал?)
Внезапно, использование зависимостей - ответственность тех кто их использует (вот они, если хотят - могут у себя коллекционировать архивы - но никому их не показывать).
А автор имеет полное право взять и перестать предоставлять тебе исходники.
(причем в большинстве правовых систем это право - даже передать нельзя, оно неотъемлемое. Т.е. не получится повесить при входе грозную табличку "ваш код не ваш код с момента его выкладывания в нашу помойку")
| | |
| 4.23, Ivan_83 (ok), 23:55, 10/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну т.е. в кюррент "20250319_6.8.24" ты изменения писать конечно можешь, а вот подменить\удалить архив(20210101_01.1.1.) - ты уже не должен иметь прав вообще.
ШО!?
Я типа за $10к это купил (или сам написал с нуля), делаю чо хочу.
Не нравится - идите в лес и пишите там сами.
А если ты против то приедут ребята в пативэне и применят обеспечительные резиновые меры и к серверам и к их владельцам. Но скорее всего хватит и просто емыла/звонка с обещанием приехать если через 5 минут не будет готово.
| | |
|
| 3.26, Аноним (26), 00:11, 11/03/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>$10k
1. Оторван от реальности. Для тех вот авторов топовых проектов твои $10k - копейки. Пошлют далеко и надолго. И в паблик переписку выложат, просто чтобы поржать.
2. Как только ты это сделаешь ... огребёшь от платформы. Напомнить, какая корпорация взяла там на себя роль хозяина всей опенсорс экосистемы, и что она делает, когда очередной лефтпадчик наглеет?
| | |
|
| 2.5, Аноним (5), 20:35, 10/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Там ниже по тексту обсуждение запрета удаления в контексте защиты от повторного использования: If we remove project deletion, which is just one way to prevent name reuse, we should permit orphanage or something similar.
| | |
| 2.6, Аноним (6), 20:48, 10/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Заходил Кэп, передавал что если нельзя будет удалить, то нельзя будет и повторно зарегистрировать.
| | |
|
| 1.7, Аноним (7), 20:51, 10/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Уязвимости уровня "придти, вскрыть при всех, перепаять.. профит!" уже не впечатляют, пошли уязвимости "а вот если бы"...
| | |
| 1.8, Аноним (8), 20:53, 10/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
А я не использую PyPI. Ставлю через APT и через GitHub. Уже более 10 лет. Полёт нормальный. Шах и мат, подменщики зависимостей.
cat /etc/pip.conf
[global]
no-index = true
no-deps = true
| | |
| |
| 2.11, Аноним (9), 20:56, 10/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Где тот отважный герой-мантейнер, который перепаковывает все проекты из пипи, в апт-репозитарий?
P.S. Сам я в CPAN тоже давно не заходил - все из портов ставлю.
| | |
| |
| 3.25, Аноним (26), 00:04, 11/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Зачем все перепаковывать, если можно просто из гита ставить? pip это умеет.
| | |
| |
| 4.28, Аноним (9), 04:11, 11/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
И как это защитит от очередного васяна, который решил пакеты на гите порушить?
| | |
|
|
| 2.20, Аноним (20), 23:27, 10/03/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> cat /etc/pip.conf
cat: /etc/pip.conf: Нет такого файла или каталога
| | |
|
| 1.16, Tron is Whistling (?), 22:18, 10/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Ахах, ну вот как раз то, о чём я и писал. Каждому лефтпаду - по пакету непонятно где. И все вот эти вот язычки без динамической линковки, и вся эта практика сбора монолита автоматом - вот сюда вот и приводит.
| | |
| |
| 2.22, пох. (?), 23:37, 10/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Как будто их создают не скриптом, чохом подбирающим любой мусор из той же самой пиписки?
| | |
|
| 1.30, Аноним (30), 04:34, 11/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Никогда не любил эти менеджеры пакетов в яп. Нужна библиотека - пиши сам или скачай на сайте руками. На каждую программу на таких языках приходится тянуть в систему целую помойку из зависимостей. Будто чувакам их в линуксе не хватает так они их в свой софт пихают.
| | |
|
