жду не дождусь, когда появятся чекеры кода, основанные на нейросетях. чтобы можно было не только проверять его функционал, но ещё и на вредоносность. конечно же, жду бесплатные)
1. мошенники всегда более изобретательны чем большинство 2. берут статистикой - например телефонные мошенники, если из 100 звонков в сутки - хотя бы один принесет от $1000 = день прожит не зря 3. видео перекликается с недавней новостью о зараженной либой в Линуксе - идея та же = разведи лоха
"если из 100 звонков в сутки - хотя бы один принесет от $1000 = день прожит не зря" Вы слишком уж оптимистичны. Вот если из 1000 звонков в сутки хотя бы один принесет $50 -- это уже более реальный расклад.
сколько времени прошло с того как злоизменения опубликовали ? Если за пару месяцев это обнаруживается, то достаточно устанавливать версии полугодовой давности, или нет?
Перед тем как пихать в пк файлы из интернета скидывайте их в отдельный пк и 155 раз перепроверяйте на наличие вирусов и тд. Скачивайте туда файлы и проводите эксперименты там а не в раббочем компьютере. Есть большая вероятность скачать скрытый майнер, вирус копировальщик энгри бёрз, скриншот запись экрана, историю записи нажатия клавиатуры и мыши ..... Доступ к камере, диктофону .....
Бред, все как раз наоборот - рабочий комп это свалка, а вот финансовые и персональные дела как раз надо держать на отдельном чистом и неприкосновенном девайсе. Естественно, не в виртуалке на рабочем компе.
Не особо понял, если скачивал колораму просто командой в командной строке то нужно бояться? Можно ли там было написать например с ошибкой и из-за этого скачалось бы не то?
Должна быть придумана какая-то экономическая модель для оупенсоурса, которая бы позволила делать анализ известных библиотек и выпускать их версии, заверенные подписями команд экспертов.
@@mlr__roal_6867 Вы напрасно противопоставляете коммерцию и оупенсоурс. Даже rms этого не делал. Масса оупенсоурс проектов вполне коммерчески успешна и не является бесплатной работой для создателей. Kernel, PostgreSQL, MySQL, nginx , clickhouse, PostgreSQL, MySQL, множество всяких джаваскриптовых ui-библиотек. Схема может быть придумана. Это может быть схема, похожая на выдачу ssl-сертификатов. Ведь ssl - открытый стандарт, но, тем не менее, вокруг него развёрнут бизнес по выдаче удостоверенных ssl-сертификатов. Примерно так же могут выданы и сертификаты на opensource. Не дословно так. А в духе таких идей.
Какая неприятная пакость. Питон отдельного человека на зарплату посадил, что чисто безопасностью заниматься. Но вот от такого вектора там пока вряд-ли что-то завезут. Походу пора собственный нексус воткнуть проксей, чтоб только с pypi тягал.
А вы думаете в npm кто то проверяет вредоносный код ? Если вы сами как разработчик не будете читать код зависимостей которые подключаете свой проект, то считайте что ваша железа уже не ваша, и без разницы это у вас был pip, npm, cargo и пр
Наверное бародатая тема, так как сегодня в каждом попурярном open source репозитории куча тестов, такая штука с пробелами даже на самом убогом репозитории врят ли пройдет так как prettier как минимум уберет все пробелы, на py не иазрабатываю, но ра js все именно так)))
С прокруткой, это конечно совсем на джуна В нормальных командах. Да даже в небольших стартапах, вешают линтеры + большинство настраивает CI/CD так что если у тебя тот же isort не был перед коммитом использован, коммит не пройдёт. А тут, явно строка больше 120
Достаточно не уподобляться npm-макакам, которые на каждый чих добавляют библиотеку (типа калорамы), фиксировать версии пакетов и использовать pip, тогда более чем с 99% вероятностью проблем не будет. Про горизонтальную прокрутку - вообще детский сад, если пользуешься линтерами, то такое не пройдет, если не пользуешься - иди повторно на курсы скиллбрейнса.
Рано или поздно это должно было случится с такой тупой манерой когда всё качается с Интернета и одержимостью постоянно всё обновлять. Как всегда всех всё устраивает... Так что расхлёбывайте!
Любая сторонняя библиотека - риск и высокая стоимость поддержки. Но нынешние недопрограммистишки, особенно вся эта веб-шпана с их javascript-ами и питонами с рубями не могут жить без.менеджеров пакетов и готовы тянуть любцю, даже самую примитивную чушь из библиотек вместо того, чтобы все, что возможно, писать с нуля. Убогие. За это в более скрьезных разделах IT- индустрии веботу за программистов и не считают.
А кто будет тебя кормить, пока ты будешь годами писать свои корявые велосипеды на каждый чих, а потом их поддерживать, когда тебя уволят? Ты наверное старый бездетный кошатник без интересов за пределами профессии, и суровый бородатый разработчик на крестах в госконторе, написал собственную, никому не нужную ОС с собственным компилятором в молодости, непосредственное начальство видел последний раз год назад, и в виду имел этот ваш гейский vcpkg?
@@andreasstager1642 ага, давай, потягай сторонние библиотеки в любой серьезной организации (finance, automotive, aerospace, medical, industrial automation, ...) - без десятка бумажет, что головой отвечаешь за каждую строчку в чужом коде не обойдешься. Веб программистишки такие смешные...
@@andreasstager1642 еще раз, стоимость поддержки стороннего кода *почти всегда* выше чем стоимость "написать с нуля". Если ты этого не понимаешь, то тебе саме место в вебе, и не лезь в серьезную разработку.
@@andreasstager1642 коменты исчезают, независимо от содержания. Еще раз: писать с нуля в долгой перспективе намного дешевле, чем поддерживать сторонний код.
@@vitalyl1327Вообще-то я Rust дев, и много лет отработал в энтерпрайзе, это к слову. Сколько народу в процентном соотношении работает в вышеперечисленных отраслях? Я бы тоже мечтал о ненапряжной работе за кучу бабла, где целыми днями сидишь пилишь какие-то библиотечки, обвешиваешь их тестами, бесконечно рефакторишь, и тебя при этом месяцами никто не трогает, а зарплата стабильно капает. Более того, за 25 лет в программизме я понял, что это самый мой любимый вид деятельности, писать нечто, что будет использоваться другими программистами, чтоб не было никаких контактов с конечными юзерами, никаких овертаймов и никаких ночных подъемов, из-за того, что где-то что-то покрешилось. Только где ж такую работу мечты найти? Всем подавай готовый продукт, да еще побыстрее, да чтоб максимально дешево, да еще чтоб по щелчку пальцев можно было найти тебе замену на рынке. А что там под капотом никого не интересует. Со всей ответственностью могу заявить, что даже швейцарский банк может отдать разработку на аутсорс кому попало и на чем попало. Они конечно проводят аудиты софта раз в 2-3 года, но делают их такие же индусы, как и те, что пишут этот софт.
В смысле обленились? В чем вообще связь с ленью? Тебе ставят задачу и сроки. Писать свою библиотеку не то чтобы лениво, сколько не вкладывается в требования бизнеса. Если бизнес посчитает оправданным и необходимым создание библиотеки - будешь писать свою библиотеку. Конкуренты то не брезгуют в экономии времени на разработке велосипедов
По вопросу можно догадаться, что спрашивающий из России - именно люди из России почему-то озабочены сексуальной темой и лезут со своими вопросами ко всем подряд 😆
жду не дождусь, когда появятся чекеры кода, основанные на нейросетях. чтобы можно было не только проверять его функционал, но ещё и на вредоносность. конечно же, жду бесплатные)
Что помешает использовать их злоумышленникам?
@@kirill_irl чтобы улучшать свой код?)) им чеккер кода не даст)
1. мошенники всегда более изобретательны чем большинство
2. берут статистикой - например телефонные мошенники, если из 100 звонков в сутки - хотя бы один принесет от $1000 = день прожит не зря
3. видео перекликается с недавней новостью о зараженной либой в Линуксе - идея та же = разведи лоха
"если из 100 звонков в сутки - хотя бы один принесет от $1000 = день прожит не зря" Вы слишком уж оптимистичны. Вот если из 1000 звонков в сутки хотя бы один принесет $50 -- это уже более реальный расклад.
@@andrejaga3003 я посмотрю, здесь одни мошенники собрались. из 404 родом?
спасибо блин
+1 ещё фобия
Зря Вы используете кричащие, ложные заголовки: Python опасен, Библиотеки воруют,..
Да чего уж там. Чего стоит история с CCleaner, часть Avfst, и тут такое.
сколько времени прошло с того как злоизменения опубликовали ? Если за пару месяцев это обнаруживается, то достаточно устанавливать версии полугодовой давности, или нет?
Перед тем как пихать в пк файлы из интернета скидывайте их в отдельный пк и 155 раз перепроверяйте на наличие вирусов и тд. Скачивайте туда файлы и проводите эксперименты там а не в раббочем компьютере. Есть большая вероятность скачать скрытый майнер, вирус копировальщик энгри бёрз, скриншот запись экрана, историю записи нажатия клавиатуры и мыши ..... Доступ к камере, диктофону .....
Бред, все как раз наоборот - рабочий комп это свалка, а вот финансовые и персональные дела как раз надо держать на отдельном чистом и неприкосновенном девайсе. Естественно, не в виртуалке на рабочем компе.
Если так размышлять, то нельзя даже есть смотря в телефон отвлечёшься , после поперхнёшься и вес гг тебе)
Вот зачем программировать надо на линухе).
Не особо понял, если скачивал колораму просто командой в командной строке то нужно бояться? Можно ли там было написать например с ошибкой и из-за этого скачалось бы не то?
не ссы это проблема тех, кто пользовался python sdk если у тебя python и pip забей ваще
уровень гениальности хакеров - прям моё почтение :)
и как же избавиться от этой заразы?
Было бы в тему рассказать также прошлонедельную эпичную историю с либой xz-utils с бекдором в sshd.
было, смотри)
Если кому интересно, какие действия предпринимать, а не просто испугаться страшную историю, у Mohammed Dief на medium есть статья, выглядит толковой
Миша огонь, побольше подобного контента
Хорошоая тема для ликбеза
Боюсь даже предположить, что если взломщик скромный, то что происходит?
Я тут на тему CEO чота смотрел, ТУТ ЖЕ звонок!
Это было весело...
Для разработки надо отдельную виртуальную машину.
И никаких там криптокошельков и тд. Только работа
Должна быть придумана какая-то экономическая модель для оупенсоурса, которая бы позволила делать анализ известных библиотек и выпускать их версии, заверенные подписями команд экспертов.
Тогда оупенсоурс проет превратится в коммерческий.
@@mlr__roal_6867 Вы напрасно противопоставляете коммерцию и оупенсоурс. Даже rms этого не делал. Масса оупенсоурс проектов вполне коммерчески успешна и не является бесплатной работой для создателей. Kernel, PostgreSQL, MySQL, nginx , clickhouse, PostgreSQL, MySQL, множество всяких джаваскриптовых ui-библиотек. Схема может быть придумана. Это может быть схема, похожая на выдачу ssl-сертификатов. Ведь ssl - открытый стандарт, но, тем не менее, вокруг него развёрнут бизнес по выдаче удостоверенных ssl-сертификатов. Примерно так же могут выданы и сертификаты на opensource. Не дословно так. А в духе таких идей.
тогда эти же люди станут в ряды "экспертов"
Open source предполагает, что каждый пользователь и есть эксперт, потому что ты используешь эти инструменты на свой страх и риск
Что значит должна? Кто такую задачу ставил и кто будет её выполнять? Да, и контролировать.
Не подскажете, что за тема используется в редактора, пусть не уместно, но все же?
посмотрел тебя - удалил пайтон
После следующего видео придется выкинуть компуктер )
Интересный выпуск, так как интересуюсь ИБ
Какая неприятная пакость.
Питон отдельного человека на зарплату посадил, что чисто безопасностью заниматься. Но вот от такого вектора там пока вряд-ли что-то завезут. Походу пора собственный нексус воткнуть проксей, чтоб только с pypi тягал.
грустная новость.
Придется кибербез боать если хочешь питоном пользоваться😢
А вы думаете в npm кто то проверяет вредоносный код ? Если вы сами как разработчик не будете читать код зависимостей которые подключаете свой проект, то считайте что ваша железа уже не ваша, и без разницы это у вас был pip, npm, cargo и пр
Лучше стараться писать на ассамблее , если конечно в вашем проце нет аппаратных дыр
На Генассаблее ООН?
@@andreasstager1642 на ген ассамблее вашего процессора
А вот нехай юзать библиотеки если можно обойтись без них))
А то привыкли блин, чуть что сразу за библиотеку хватаются.
Наверное бародатая тема, так как сегодня в каждом попурярном open source репозитории куча тестов, такая штука с пробелами даже на самом убогом репозитории врят ли пройдет так как prettier как минимум уберет все пробелы, на py не иазрабатываю, но ра js все именно так)))
спасибо
охуенно пулл реквест проверили
С прокруткой, это конечно совсем на джуна
В нормальных командах. Да даже в небольших стартапах, вешают линтеры + большинство настраивает CI/CD так что если у тебя тот же isort не был перед коммитом использован, коммит не пройдёт.
А тут, явно строка больше 120
Нужен анализатор подозрительного кода
Достаточно не уподобляться npm-макакам, которые на каждый чих добавляют библиотеку (типа калорамы), фиксировать версии пакетов и использовать pip, тогда более чем с 99% вероятностью проблем не будет.
Про горизонтальную прокрутку - вообще детский сад, если пользуешься линтерами, то такое не пройдет, если не пользуешься - иди повторно на курсы скиллбрейнса.
log4j примерно так же позволял запускать любой код на groovy. Если мне не изменяет память. Причем это было встроенной фичой логгера.
насколько помню, там просто не предусмотрели такую уязвимость. Ну или по крайней мере, не нашли никаких доказательств злонамеренности))
как страшно жить!? )
Рано или поздно это должно было случится с такой тупой манерой когда всё качается с Интернета и одержимостью постоянно всё обновлять. Как всегда всех всё устраивает... Так что расхлёбывайте!
херовая новость.
кибербез похоже придется ботать если хочешь пользоваться питоном
Миша как войти в ай ти с нуля?
Нечего там делать
зачем ты там нужен?
@@алексавы-р5кза ноутбуком )
@@johnsnow6041как это? Посмотри в интернете вакансий куча, нужны специалисты
Открываешь вакансии в разделе для начинающих без опыта, читаешь что надо уметь чтобы податься, изучаешь это и подаешься.
❤❤❤🎉🎉🎉
Что это?
Капец))
Ну и такое же гуано творится с npm пакетами
Если использовать pyinstaller, то на полученный exe будет ругаться антивирус
Любая сторонняя библиотека - риск и высокая стоимость поддержки. Но нынешние недопрограммистишки, особенно вся эта веб-шпана с их javascript-ами и питонами с рубями не могут жить без.менеджеров пакетов и готовы тянуть любцю, даже самую примитивную чушь из библиотек вместо того, чтобы все, что возможно, писать с нуля. Убогие. За это в более скрьезных разделах IT- индустрии веботу за программистов и не считают.
А кто будет тебя кормить, пока ты будешь годами писать свои корявые велосипеды на каждый чих, а потом их поддерживать, когда тебя уволят?
Ты наверное старый бездетный кошатник без интересов за пределами профессии, и суровый бородатый разработчик на крестах в госконторе, написал собственную, никому не нужную ОС с собственным компилятором в молодости, непосредственное начальство видел последний раз год назад, и в виду имел этот ваш гейский vcpkg?
@@andreasstager1642 ага, давай, потягай сторонние библиотеки в любой серьезной организации (finance, automotive, aerospace, medical, industrial automation, ...) - без десятка бумажет, что головой отвечаешь за каждую строчку в чужом коде не обойдешься. Веб программистишки такие смешные...
@@andreasstager1642 еще раз, стоимость поддержки стороннего кода *почти всегда* выше чем стоимость "написать с нуля". Если ты этого не понимаешь, то тебе саме место в вебе, и не лезь в серьезную разработку.
@@andreasstager1642 коменты исчезают, независимо от содержания. Еще раз: писать с нуля в долгой перспективе намного дешевле, чем поддерживать сторонний код.
@@vitalyl1327Вообще-то я Rust дев, и много лет отработал в энтерпрайзе, это к слову.
Сколько народу в процентном соотношении работает в вышеперечисленных отраслях? Я бы тоже мечтал о ненапряжной работе за кучу бабла, где целыми днями сидишь пилишь какие-то библиотечки, обвешиваешь их тестами, бесконечно рефакторишь, и тебя при этом месяцами никто не трогает, а зарплата стабильно капает. Более того, за 25 лет в программизме я понял, что это самый мой любимый вид деятельности, писать нечто, что будет использоваться другими программистами, чтоб не было никаких контактов с конечными юзерами, никаких овертаймов и никаких ночных подъемов, из-за того, что где-то что-то покрешилось. Только где ж такую работу мечты найти? Всем подавай готовый продукт, да еще побыстрее, да чтоб максимально дешево, да еще чтоб по щелчку пальцев можно было найти тебе замену на рынке. А что там под капотом никого не интересует.
Со всей ответственностью могу заявить, что даже швейцарский банк может отдать разработку на аутсорс кому попало и на чем попало. Они конечно проводят аудиты софта раз в 2-3 года, но делают их такие же индусы, как и те, что пишут этот софт.
Потому что разработчики обленились. Что то свое писать не могут, проще скачать готовое типа безопасное потому что так нам сказали.
Вы сами сторонние библиотеки используете или всё сами пишете?
В смысле обленились?
В чем вообще связь с ленью? Тебе ставят задачу и сроки. Писать свою библиотеку не то чтобы лениво, сколько не вкладывается в требования бизнеса. Если бизнес посчитает оправданным и необходимым создание библиотеки - будешь писать свою библиотеку.
Конкуренты то не брезгуют в экономии времени на разработке велосипедов
Вы совершенно правы! Каждый разработчик должен создавать свой язык программирования, фреймворк и ОС!!!😂😂😂
как ты попал в гей столицу? ты пассив или актив? домогаются ли тебя мужчины-работодатели?
По вопросу можно догадаться, что спрашивающий из России - именно люди из России почему-то озабочены сексуальной темой и лезут со своими вопросами ко всем подряд 😆
не позорься
Россиянен пытается пошутить про гейство 😂😂
@@uszakow для них это больная тема. 100%-ные "натуралы". 😂😂😂
@@uszakow Не ко всем подряд, а к Мише, который развелся и в гей столице живет сейчас с трансом