The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выявлена подстановка вредоносной зависимости в ночные сборки PyTorch

01.01.2023 09:49

Разработчики фреймворка машинного обучения PyTorch предупредили пользователей о выявлении подстановки вредоносной зависимости, выполняемой при использовании ночных сборок проекта. Проблема затрагивает только экспериментальные ночные сборки PyTorch (PyTorch-nightly), пакеты со стабильными выпусками не пострадали. Вредоносная зависимость распространялась с 25 по 30 декабря 2022 года и была нацелена на компрометацию Linux-систем разработчиков, использующих тестовые сборки PyTorch.

Для совершения вредоносных действий атакующие воспользовались методом подмены зависимостей и загрузили в репозиторий PyPI пакет torchtriton, имеющий то же имя, что и пакет, размещённый в собственном репозитории PyTorch-nightly. Метод основан на том, что при использовании дополнительных репозиториев пакетный менеджер pip пытается загрузить внутренние зависимости и из публичных репозиториев, учитывая номер версии. Таким образом, при установке ночных сборок PyTorch пакетный менеджер pip обнаруживал более новый пакет torchtriton в репозитории PyPI и устанавливал его, вместо одноимённого пакета из репозитория PyTorch-nightly.

В опубликованную атакующими версию torchtriton был добавлен код для запуска исполняемого файла ("PYTHON_SITE_PACKAGES/triton/runtime/triton"), который осуществлял поиск и отправку конфиденциальных данных с систем, работающих под управлением Linux. Среди прочего злоумышленникам отправлялась информация о системе (/etc/resolv.conf, /etc/hosts, /etc/passwd, переменные окружения, данные об учётной записи), а также содержимое $HOME/.gitconfig, $HOME/.ssh/* и первых 1000 файлов в домашнем каталоге, размером менее 100 КБ. Данные передавались через туннель, организованный поверх DNS (отправлялись шифрованные DNS-запросы к DNS-серверу атакующих).

По имеющейся статистике вредоносный пакет torchtriton был загружен более 2000 раз. Разработчикам, которые устанавливали PyTorch-nightly или torchtriton с 25 по 30 декабря 2022 года, рекомендуется проверить своё окружение на предмет вредоносной активности. Проблему сглаживает то, что вредоносный код запускался только при импорте пакета triton, что не является поведением PyTorch по умолчанию и требует использования определённого кода. Для проверки наличия вредоносного пакета torchtriton можно использовать следующую команду:


   python3 -c "import pathlib;import importlib.util;s=importlib.util.find_spec('triton'); affected=any(x.name == 'triton' for x in (pathlib.Path(s.submodule_search_locations[0] if s is not None else '/' ) / 'runtime').glob('*'));print('You are {}affected'.format('' if affected else 'not '))"

Дополнение: Опубликован анализ использованного вредоносного кода.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Проект PyTorch перешёл под крыло организации Linux Foundation
  3. OpenNews: GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах
  4. OpenNews: Анализ наличия вредоносного кода в эксплоитах, опубликованных на GitHub
  5. OpenNews: В репозитории PyPI выявлены вредоносные пакеты, нацеленные на кражу криптовалюты
  6. OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Короткая ссылка: https://opennet.ru/58416-pytorch
Ключевые слова: pytorch, hack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (129) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:18, 01/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    01.01.2023 09:49

    https://www.youtube.com/watch?v=ZNeva4uNf4Q

     
     
  • 2.39, Аноним (39), 15:45, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Повесить ему на шею баб, спиногрызов, кредитов, научить лакать спирт - и будет "настаящая нармальная жызнь, усё как усех".
     

  • 1.3, pashev.ru (?), 10:26, 01/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Для проверки наличия вредоносного пакета torchtriton можно использовать следующую команду

    Которая снесёт вам хомяк 😂

     
     
  • 2.4, Аноним (4), 11:26, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Там вроде всё по-русски написано, какие проблемы?
     
     
  • 3.121, Admin (??), 12:42, 02/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Он к тому, что и в статью можно вбить какую-нибудь закриптованную ересь в финале дающую аналог rm -rf /
    и тысячи параноиков, которые торчем даже не пользуются, вобьют его из под рута и будут наслаждаться процессом
     
     
  • 4.125, Аноним (4), 15:32, 02/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А в чём дело? Это могут прочитать примерно 100% людей, базово освоивших питон. Никакой обфускации, не как с перлом, где проблема понять, что вообще происходит, даже если ты неплохо знаешь язык.
     

  • 1.5, Аноним (5), 11:31, 01/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > print('You are {}affected'.format('' if affected else 'not '))"

    Как же противно читать код людей, которые сами себе умными кажутся.

     
     
  • 2.6, Аноним (4), 11:36, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, объясните, зачем люди пишут так, вместо f-строк, там же одинаковая уязвимость? Например, когда имя файла содержит фигурные скобки, это прекрасно проявляется.
     
     
  • 3.7, Аноним (4), 11:39, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я могу придумать только бэкслеш-последовательности в f-строках под запретом, их над присваивать отдельной переменной и потом присоединять. Существуют какие-то ещё причины?
     
  • 3.12, bergentroll (ok), 12:19, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Иногда для совместимости с Python<3.6.
     
     
  • 4.14, Аноним (14), 12:26, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    f-строки - это вообще лютый культ карго, которые пихают везде и всюду. Есть у всяких поехавших такой стимул "мы хотим заставить наших пользователей обновить версию питона" (не об f-строках речь, а в общем, конкретно этот случай - когда в метаданных пакета были прописаны завышенные версии зависимостей). Вдумайся, эти поехавшие не только это хотят, а даже и не стесняются публично заявлять о том, что одна из их целей - нагадить части пользователей их пакета.
     
     
  • 5.21, Аноним (4), 12:45, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Наверно, как и с моржовым оператором, повышают удобочитаемость и простоту сопровождения. С питоном такая вещь, что есть только последний релиз, и всё остальное от лукавого. Что касается новости, то в питоне вообще сложно понять где нормальный пакет, а где не очень. Например, вот васянопакет который я довольно долго и продуктивно использую, но он поддерживает только 3.9 https://snyk.io/advisor/python/pycld3 а вот "официальный" пакет, загруженный непонятно кем https://snyk.io/advisor/python/gcld3 вот и выбирайте.
     
     
  • 6.23, Аноним (14), 13:10, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чувствую, нужно написать автоматическую избавлялку от хренов моржовых.
     
     
  • 7.24, Аноним (4), 13:20, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не взлетит, по многим причинам. Да и, например, раньше приходилось писать MappingProxyType({}), а в 3.10 уже можно {}.values().mapping и много такого. Минус лишние импорты, плюс чистота и читаемость кода.
     
  • 6.52, Аноним (-), 18:13, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Перл повышает удобочитаемость и простоту сопровождения.
     
  • 5.26, Аноним (26), 13:47, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если в 2023 ты всё ещё пользуешь что-то старее 3.8 (последний, который умел в x86 под win7) и то чисто из-за легаси - попячся и убейся ап стену
     
     
  • 6.35, Аноним (14), 14:59, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Если в 2023 ты всё ещё пользуешь чем-то старее Windows 11

    Пофрксил.

     
  • 6.37, Аноним (14), 15:03, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 3.8 (последний, который умел в x86 под win7)

    Что поделать - разрабы питона - поехавшие.

    К счастью есть для 3.9 workaround в виде васяноdllки.

     
  • 6.54, псевдонимус (?), 19:04, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Проще выкинуть на мороз пердон.
     
  • 6.111, Аноним (-), 22:47, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >последний, который умел в x86 под win7

    BSD с сорцами ещё до ANSI C нервно курит в сторонке.

     
  • 3.25, pashev.ru (?), 13:46, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы все слабоумные. Надо писать:

    if afffected:
      print ("You are affected")
    else:
      print ("You are not affected")


     
     
  • 4.27, Аноним (4), 13:51, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Кому надо и почему ты считаешь, что ты единственный на белом коне и в пальто? Как ты предлагаешь записать это в 1 строку, чтобы выполнить через -c? Ты, вообще, видел, во что превращаются эти чёртовы ёлочки?
     
     
  • 5.29, pashev.ru (?), 14:13, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  записать это в 1 строку

    И в чём я не прав?

     
     
  • 6.132, Омномним (?), 14:54, 03/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С однострочниками у питонистов в силу значимых пробелов печаль-беда вообще.
     
  • 5.62, Чулочник (?), 19:29, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >чтобы выполнить через -c

    Чтобы выполнить через -c, в одну строку сувать не надо.

     
     
  • 6.67, Аноним (4), 20:23, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты проверял, или местные эксперты нашептали?
     
     
  • 7.74, Местный эксперт (?), 20:45, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это я сам нашёптываю тебе сам знаешь куда, проверяй :3
     
  • 7.75, Аноним123 (?), 20:49, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Dedent и все отлично работает, но это ж надо документацию читать
     
     
  • 8.95, Аноним (4), 21:47, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Наверно, будет весело, когда из-за особенностей эмулятора терминала, прилетит rm... текст свёрнут, показать
     
  • 8.116, Sem (??), 00:32, 02/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Dedent в однострочнике будет смотреться лучше Ты серьезно ... текст свёрнут, показать
     
  • 4.126, iPony129412 (?), 16:45, 02/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    print("pony") if True else print("horse");
     
  • 4.135, AKNOR (?), 20:41, 03/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    if ( afffected) THEN
      print *,"You are affected"

    else
      print *,"You are not affected"
    endif
    STOP
    Конечно же .

     
  • 2.32, YetAnotherOnanym (ok), 14:53, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как же противно читать код людей, которые сами себе умными кажутся.

    И что там так тебя ранило? Один из овер9000 способов вывести строку, в которой либо присутствует, либо отсутствует какой-то фрагмент. Не хуже других.

     
     
  • 3.134, жоск (?), 18:02, 03/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ваша петанячья феласофия нарушена
     
  • 2.64, Аноним (64), 19:39, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Как же противно читать комментарии людей, которые сами себе умными кажутся.
     

  • 1.8, Аноним (14), 11:40, 01/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >имеющий то же имя, что и пакет, размещённый в собственном репозитории PyTorch-nightly

    Они там совсем кукухой поехали? Вот поэтому питорчем пользоваться и не надо.

     
     
  • 2.9, Аноним (14), 11:56, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Проблема в том, что официальный способ установки питорча - это не использовать и... большой текст свёрнут, показать
     
     
  • 3.15, Аноним (15), 12:30, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Если ты платишь товар это тоже ты.
     
     
  • 4.19, Аноним (14), 12:33, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если ты работодатель и платишь подчинённому, то товар - это он.
     
     
  • 5.151, 1 (??), 11:37, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И если не платишь, то товар тоже он.
     
  • 3.34, YetAnotherOnanym (ok), 14:58, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Страшно представить, что твориться со всеми остальными пакетами и в rust-экосистеме, где все зависимости качаются и всем на всё пофиг

    Можешь подсказать экосистему, в которой все до единого пакеты в репозитории проходят обязательную независимую (от автора) ревизию и верификацию перед размещением в общем доступе?

     
     
  • 4.100, Аноним (-), 22:10, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    да, код-ревю на предприятии относительно мастера
     
  • 4.122, Бздюк (?), 12:50, 02/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    BSD семейство
     
  • 2.10, Бывалый смузихлёб (?), 12:00, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Но ведь, ну как же без своих потайных маня-пакетов и репозиториев просто с объявлением имени и версии пакета !?

    Причём, в случае с тем же npm/yarn, свой уютненький локальный пакетик можно прописать с конкретной ссылкой на локальный каталог пакета - и оно будет тянуться исключительно оттуда невзирая ни на что, без всякого балагана с версиями. Это особенно актуально, когда требуется чуть допилить конкретный пакет под конкретный проект

     
     
  • 3.20, Аноним (14), 12:35, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да и в питоне так можно, вообще хоть на гит репозиторий - PEP 508, direct URL называется. Но ведь не сделано было.
     

  • 1.11, Омномним (?), 12:10, 01/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    PyTorch'нули на отличненько
     
  • 1.13, Аноним (13), 12:22, 01/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    пятифакторная небинарная аутентификация могла спасти от этой подставы
     
     
  • 2.17, Аноним (15), 12:31, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • –10 +/
    А ещё можно просто пользоваться платными продуктами, которые полностью отвечают за безопасность и юридически и репутацией.  
     
     
  • 3.28, Анонус (?), 14:12, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А можно пример, как кто-то ответил юридически и репутацией? Мне всегда казалось чьл юридически закрепляют только СЛА, т.е. "мы обязуемся начать решать проблему как можно быстрее, но не гарантируем отсутствие проблем".
     
     
  • 4.145, Michael Shigorin (ok), 17:54, 05/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А можно пример, как кто-то ответил юридически и репутацией?

    Тот же торчок в соседних темах пытался применить свой неандертальский опыт к аккаунтам на опеннете.  Решительно не понимаю -- как можно сперва искать проблем на свою задницу, а потом обижаться, когда они наконец прилетают...

     
  • 3.115, mikhailnov (ok), 00:22, 02/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Привет от шифровальщика Пети
     
  • 2.22, Аноним (22), 12:48, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И переписъ на Руст.
     
  • 2.55, Dzen Python (ok), 19:05, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    *Мамай-клянус! Пакет читсый, сам духтор уэбом правирял, ага!*
     

  • 1.16, BrainFucker (ok), 12:30, 01/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    То есть атакующие просто загрузили в репозиторий какой-то пакет, который там отсутствовал, но был упомянут в зависимостях пайторча?
     
     
  • 2.46, SilverCutePony (ok), 17:16, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нормальный пакет уже был в репозитории от разработчиков PyTorch, а злоумышленники загрузили пакет с таким-же названием в публичный репозиторий PyPI. Во время установки, менеджер пакетов видел, что в PyPI этот пакет новее и скачивал его вместо пакета от разработчиков
     
     
  • 3.48, BrainFucker (ok), 17:25, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    То есть это какая-то дыра в PyPI зачем-то позволяющая использовать одно и то же имя пакета разными людьми?
     
     
  • 4.53, SilverCutePony (ok), 18:17, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > То есть это какая-то дыра в PyPI зачем-то позволяющая использовать одно и
    > то же имя пакета разными людьми?

    Нет. В PyPI до этого не было этого пакета вообще, его туда залили злоумышленники впервые. Скорее это дыра в менеджере pip, загружающего пакеты из другого источника без спроса, если там новее

     
     
  • 5.58, Dzen Python (ok), 19:14, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  Скорее это дыра в менеджере pip, загружающего пакеты из другого источника без спроса, если там новее

    Не дыра, а фича. Нужно качать, иначе соевый *прохраммистик* на циферки передернуть не сможет. Пока течёт его любимый лавандовый смуззи. Обидится. В твиттере напишет, поплачет в иссюях. Зачем тридцатилетнего ребенка с небинарным сознанием пятилетки в эко-френдли чунях расстраивать?

     
     
  • 6.61, Вы забыли заполнить поле Name (?), 19:18, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос в другом: зачем качать новые версии просто так? Ну зафиксируйте вы версию, заморозьте версии всех пакетов.
     
     
  • 7.66, Омномним (?), 20:23, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В тяпляпс мирке сейчас так не модно, там модно разявить пасть и хлебать свеженькое прямо из трубы.
    Добавить к этому васян-контейнеры с разных пабликов и торчащие из голого зада, тьфу, то есть голым задом редисы - но они всё равно за безопасность.
     
  • 7.68, Омномним (?), 20:25, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Еще модно навертеть всяких докеров с дыроформами для редеплоя инстансов каждые 15 минут, а потом внезапно выяснить, что в 2022 разные 6 центосы в инфре ещё до сих пор живее всех живых.
     
     
  • 8.69, Омномним (?), 20:27, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Патаму что сцYка воспроизводимость конь-фигу-рации, а переписывать всякие шаблон... текст свёрнут, показать
     
     
  • 9.70, Омномним (?), 20:32, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    и потом приходишь ты такой весь в белом, посылаешь нахер все пупошефы, и с матю... текст свёрнут, показать
     
     
  • 10.103, Хру (?), 22:13, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Стройный и документированный - это тогда не тяпляпс по определению Тяпляпс это ... текст свёрнут, показать
     
     
  • 11.109, Аноним (-), 22:30, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Обнови, чо как неродной СТАНДАРТ ЖИ А тело, на самом деле, пошло скакать дальш... текст свёрнут, показать
     

  • 1.41, Аноним (41), 15:57, 01/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Крах всей системы разработки с использованием публичных репозиториев. И Питона в частности.
     
     
  • 2.42, Аноним (42), 17:00, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    До гуманитариев-самоучек только сейчас начинает доходить, то что было очевидным для инженеров с профильным высшим советским (качественным) образованием.
     
     
  • 3.45, Аноним (45), 17:14, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Может быть светским, а не советским?
     
     
  • 4.80, Аноним (-), 20:59, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Да, лучше светское образование, чем советское.
     
     
  • 5.146, Michael Shigorin (ok), 17:57, 05/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чем бы?  Так-то СССР кончился не на материальном фронте, а на духовном -- которого "не было"...
     
  • 4.128, Neon (??), 00:33, 03/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С советским образованием люди заряжали банки с водой по телевизору от Чумака, лечились Кашпировским и верили свято в 1000% годовых))). И именно советские люди поменяли свою страну на дранные джинсы и жвачку. А некоторые даже дважды умудрились. Продать свою страну еще раз за кружевные труселя и туманные обещания рая в ЕС.))) Так что я бы не стал бы так уж уповать на советское образование.)))
     
     
  • 5.136, Бздюк (?), 06:40, 04/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тем же самым занимаются люди с британским или американским образованием. Шизы точно так же выпускаются из израильских школ и ВУЗов. В Скандинавии поехавших не меньше. В целом по планете 1-5% населения страдают или наслаждаются шизофазией. Вот и вы туда же. Важнейший индикатор для выявления шиза это его огульные и нахрапистые обобщения.
     
     
  • 6.147, Michael Shigorin (ok), 17:58, 05/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Тем же самым занимаются люди с британским или американским образованием.
    > Шизы точно так же выпускаются из израильских школ и ВУЗов. В Скандинавии
    > поехавших не меньше. В целом по планете 1-5% населения страдают или наслаждаются
    > шизофазией. Вот и вы туда же. Важнейший индикатор для выявления шиза
    > это его огульные и нахрапистые обобщения.

    Ээээ... не хотите USB-зеркальце?

     
  • 3.47, Аноним (14), 17:21, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У меня не советское, но мне тоже это было очевидно. Но приходится ставить скомпилированные другими бинарные пакеты, а не в чучхе играть.
     
     
  • 4.117, Бывалый смузихлёб (?), 08:15, 02/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дело не в системе, а в отдельных обезьянах, которые не могут прописать локальные пути до локальных пакетов
    Если это какой-то полувнутренний пакет - прописать конкретный адрес до него

    Или, хотя бы, зафиксировать версию пакета а не «не ниже указанной и до мажорного обновления»

     
  • 4.148, Michael Shigorin (ok), 18:00, 05/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня не советское, но мне тоже это было очевидно. Но приходится
    > ставить скомпилированные другими бинарные пакеты, а не в чучхе играть.

    А ведь можно и собирать вместе с другими (которых в физиономию знаешь), и даже создавать при надобности... кто ж так заставляет?

     
  • 3.49, Аноним (49), 17:58, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Воду зарядил?
     
     
  • 4.72, anonymous (??), 20:35, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    рано, сначала бригадный подряд потом чудо конвейер глазника Федорова только потом "ставьте мази ставьте крЭмы я их заряжу". Желательно предварительный разогрев Бермудскими треугольниками с НЛО и Мумиём.
     
  • 3.87, Аноним (-), 21:29, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если бы это было для этих инженеров очевидно, тогда они бы задались вопросом, почему в стране вместо нескольких экономических субъектов всего лишь один незаменимый.
     
     
  • 4.127, Аноним (127), 16:48, 02/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Если бы это было для этих инженеров очевидно, тогда они бы

    Инженеры ничего не решают, ни в "этой" стране, ни в какой-либо другой.

     
  • 3.129, Neon (??), 00:34, 03/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Насчет качественного советского терзают смутные сомнения. Именно самые читающие люди заряжали банки с водой по телевизору от Чумака, лечились Кашпировским и верили свято в 1000% годовых))). И именно советские люди поменяли свою страну на дранные джинсы и жвачку. А некоторые даже дважды умудрились. Продать свою страну еще раз за кружевные труселя и туманные обещания рая в ЕС.))) Так что я бы не стал бы так уж уповать на советское образование.)))
     
     
  • 4.137, Бздюк (?), 07:07, 04/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тем же самым занимаются люди с британским или американским образованием. Шизы точно так же выпускаются из израильских школ и ВУЗов. В Скандинавии поехавших не меньше. В целом по планете 1-5% населения страдают или наслаждаются шизофазией. Вот и вы туда же. Важнейший индикатор для выявления шиза это его огульные и нахрапистые обобщения.
     
  • 2.123, Аноним (123), 13:38, 02/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это просто локальная ошибка с приоритетами в конкретном менеджере пакетов.
     

  • 1.44, Аноним (45), 17:04, 01/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Современный мир программирования пробивает очередное дно.
     
     
  • 2.56, Dzen Python (ok), 19:07, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Не путай *современный мир программирования* и *стильно-модно-молодёжный кодинг на гитхуп с уиииил зависимостями в недорепозиторях*. Они рядом, но между ними есть непреодолимый водораздел
     
  • 2.130, Neon (??), 00:36, 03/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Современный мир программирования построили студенты троечники, которые старые учебники не открывали. А если вдруг откроют, то их осенит, типа Java с виртуальной машиной. А ведь виртуальные машины были еще в Паскале с его Pi-кодом.))) И идеи виртуализации имеют бороду длиной до мейнфреймов 70х годов и ранее.
     

  • 1.50, Аноним (50), 18:00, 01/01/2023 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –5 +/
     
     
  • 2.63, Аноним (64), 19:37, 01/01/2023 Скрыто модератором
  • +/
     
     
  • 3.65, Аноним (50), 20:10, 01/01/2023 Скрыто модератором
  • –1 +/
     
     
  • 4.73, Аноним (4), 20:41, 01/01/2023 Скрыто модератором
  • +/
     
     
  • 5.79, Аноним (50), 20:58, 01/01/2023 Скрыто модератором
  • +/
     
     
  • 6.81, Аноним (4), 21:04, 01/01/2023 Скрыто модератором
  • +/
     
     
  • 7.83, Аноним (50), 21:09, 01/01/2023 Скрыто модератором
  • +/
     
     
  • 8.86, Аноним (4), 21:25, 01/01/2023 Скрыто модератором
  • +/
     
     
  • 9.104, Аноним (-), 22:14, 01/01/2023 Скрыто модератором
  • +/
     
     
  • 10.105, Аноним (4), 22:22, 01/01/2023 Скрыто модератором
  • +/
     
     
  • 11.108, Аноним (-), 22:26, 01/01/2023 Скрыто модератором
  • +/
     
  • 10.106, Аноним (4), 22:24, 01/01/2023 Скрыто модератором
  • +/
     
  • 6.82, Аноним (4), 21:07, 01/01/2023 Скрыто модератором
  • +/
     
     
  • 7.85, Аноним (50), 21:21, 01/01/2023 Скрыто модератором
  • +/
     
  • 6.92, Аноним (-), 21:43, 01/01/2023 Скрыто модератором
  • +/
     
  • 5.94, Аноним (-), 21:47, 01/01/2023 Скрыто модератором
  • +/
     
     
  • 6.99, Аноним (4), 21:52, 01/01/2023 Скрыто модератором
  • +/
     
     
  • 7.107, Аноним (-), 22:24, 01/01/2023 Скрыто модератором
  • +/
     

     ....ответы скрыты модератором (17)

  • 1.51, Аноним (-), 18:12, 01/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Удобненькие язычки с удобненькими пакетными менеджерами.
     
  • 1.57, Аноним (57), 19:12, 01/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всё норм, торчём никто не пользуется, он для отсталых, всё пользуются тензорфлоу, (или даже wabbit).
     
  • 1.59, Вы забыли заполнить поле Name (?), 19:15, 01/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А где подборка самых значимых событий года? В этом году не будет?
     
     
  • 2.89, Аноним (-), 21:34, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • –6 +/
    О том, что зарубежные производители российских процессоров не пускают российские процессоры на Россию, писать стыдно.
     
     
  • 3.93, Аноним (45), 21:44, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да уж, TSMC в минувшем году пробило дно, это правда...
     
     
  • 4.97, Аноним (-), 21:49, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пакет рошенок на TSMC не обнаружили?
     

  • 1.60, Dzen Python (ok), 19:16, 01/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вообще интересно не это - интересно почему это поведение в принципе разблокировано по дефолту? Вместо организационной соли - когда нужно явно руками указать для кокретного пакета разрешение обновляться из всех доступных источником, а не из того, что прописан жёстко.
     
     
  • 2.88, Аноним (-), 21:31, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >интересно почему это поведение в принципе разблокировано по дефолту?

    А это чтобы удобненько было.

     
  • 2.118, Бывалый смузихлёб (?), 08:19, 02/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А как тогда в чужие системы пролезать, если такие дыры прикроют !?

    Вообще, если внимательно присмотреться к западному подходу к делам, оказывается что там дырявое как сыр всё, начиная даже с процов и, скорее всего, это не просто так. Причём, очень многие простые решения несравненно повысили бы безопасность, но сделано исключительно вопреки этому.

    Возможно, не просто так в сша стратегические направления ОПК до сих пор работают на железе прошлого века и соотв ПО

     
     
  • 3.133, Омномним (?), 14:55, 03/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вообще если внимательно присмотреться - у них хотя бы есть эти решения, а не только пальцезагибание про безопастность.
     
     
  • 4.138, Бздюк (?), 07:10, 04/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если внимательно присмотреться, то у них и население более миллиарда -- это только ЕС и США с лимитрофами. А не 140 млн. Соотв. и рынок больше и голов с руками больше. Про более тёплый и ДЕШЁВЫЙ ДЛЯ ЖИЗНИ климат даже не пишу -- это обязан знать любой школьник (вы-то, конечно, забыли, но я напоминаю)
     
     
  • 5.139, Омномним (?), 11:03, 04/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Танцор, яйца, вот это всё. В Финляндии и Норвегии про климат - однозначно.
     
     
  • 6.140, Бывалый смузихлёб (?), 12:44, 04/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Танцор, яйца, вот это всё. В Финляндии и Норвегии про климат -
    > однозначно.

    И какие у них решения «для безопасности» ?

    Какие на западе вообще есть железобетонные решения для этого ?
    Был касперыч - и того выгнали под надуманным предлогом. А то, что на десятке система по умолчанию любые подозрительные ей штуки на неизвестные сервера шлёт да кряки без запроса удаляет - так этодругое

    Ведь, дырявое всё, вплоть до оси, процов и всяких цисок
    Даже если будет мощный антивирус, при некоторых неучтенных дырах в проце, запросто пролезут в его память и повертят так, как в детстве на каруселях не крутили

     
     
  • 7.141, Омномним (?), 15:21, 04/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > И какие у них решения «для безопасности» ?

    Давай хотя бы с простого начнём: с OpenSSL.
    Двинемся в сеть - и увидим Flowmon, Arbor, ...
    Двинемся в конечные узлы - и увидим Sophos, Barracuda, ...

     
     
  • 8.149, Michael Shigorin (ok), 18:04, 05/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да уж, где SSL, а где безопасность -- разве что как раз безопасность , вот тут ... текст свёрнут, показать
     
     
  • 9.150, Омномним (?), 19:04, 05/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, давайте всё плейнтекстом Лично с банковской картой плейнтекстом онлайн п... текст свёрнут, показать
     
  • 7.143, Омномним (?), 15:26, 04/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если ты конкретно за Финляндию с Норвегией - для начала увидим ведро :)
    Потом Aves, Missing Link, Mnemonic, Netsecurity, Orca (ну эту-то уж стыдно не знать), Lambda Networks, Capricode Oy, Assa Abloy (тоже стыдно не знать), Anviz, nSense (ы?), и т.п.
     

  • 1.90, Аноним (45), 21:39, 01/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Обколются смузями, а потом вытворяют чёрт-те что...
     
     
  • 2.98, Аноним (-), 21:50, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А тебе и завидно :3

    Вакцинироваться, гражданин, не желаете? Снимайте штанишки, сейчас мы вас вакцинировать будем.

     

  • 1.110, Аноним (-), 22:34, 01/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А что вы ожидали, ставя пакет, в котором есть слово "торч"?
     
     
  • 2.113, Dzen Python (ok), 23:54, 01/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Torch == Факел.
    Хотя и перевод тоже с эффектом телепорно...
     

  • 1.119, Аноним (41), 10:15, 02/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    чья вообще была идея хранить код (святая святых) на сервере чужого, иногда неуважаемого, дяди?
     
  • 1.120, Аноним (120), 12:26, 02/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > pip пытается загрузить внутренние зависимости и из публичных репозиториев

    Как необычно! (нет)

     
  • 1.144, Аноним (144), 16:17, 05/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, firejail + его правила во многом бы сократили ущерб. Обычным процессам нельзя иметь доступ к чуствительным файлам.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2023 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру