Infizierte Python Bibliotheken

Gute Links und Tutorials könnt ihr hier posten.
Antworten
Benutzeravatar
pixewakb
User
Beiträge: 1407
Registriert: Sonntag 24. April 2011, 19:43

Also ich glaube, dass ich in meinem Bereich auch an Mars-Robotern arbeite, nur meinte haben vier Pfoten, hören auf den Namen Bello, geben Pfötchen, holen das Stöckchen, legen Eier und gackern. Zumindest das gackern will ich noch wegprogrammieren.

Scherz bei Seite: Sagen wir, dass Du das Modul Django programmiert hättest, dann dürftest Du auch das Modul Django hochladen. Sagen wir, Du bist einer der Programmierer des Django-Moduls, dann müsste ein oder mehrere Maintainer Dich verifizieren und müssten dann auch dem Upload Deines Moduls Django++ zustimmen.

Github-Repositories mit wenigen Likes könnte man z. B. schon mal als weniger vertrauenserweckend ansehen, also so etwas schwebt mir vor.

Mometan muss ich eine Webscraping-Aufgabe erledigen und ein Dataset aus HTML-Seiten basteln; das ist etwas, was ich gerne mache. Ich hoffe halt nur, dass die, die sich gerne um PyPi kümmern, halt auch gerne mal um das Problem dort kümmern. Meine Meinung. Ich habe da leider keine Ambitionen, verfolge das Thema aber.
__deets__
User
Beiträge: 14493
Registriert: Mittwoch 14. Oktober 2015, 14:29

All das was du beschreibst habe ich schon angesprochen: das sind explizit verwaltete Zugänge mit irgendeiner Form von Verifikation. Dazu github automatisch ranziehen zu wollen hilft doch nicht, das verlagert das Problem nur. Der neue heiße scheiss ist jetzt halt auf github. Genauso wie der boshafte scheiss. Da ist doch nix gewonnen.

Das Problem ist schlicht nicht einfach. Du unterschätzt das massiv. Ich habe auch schon (nach dem Marsroboter) an textklassifikation rumgespielt. Ein deutlich simpleres Problem, einfach nur die Frage “bietet dieser Text ein Frühstück zur Hotelübernachtung an”. Das war schon extrem schwer zu beantworten. Nun bin ich nicht der Oberexperte in Sprachverarbeitung. Aber eine gewisse Einarbeitung habe ich da hinter mir, und kenne auch Leute, die das auf hohem Niveau professionell machen. Auch die sind nicht stinkreich, weil sie eine intelligenten Spam-Filter geschrieben haben. Oder ähnliches.

Und von vielen anderen Vektoren wie zb bewusst erstellten & gepflegten Projekten die dann plötzlich “böse” werden, einer feindlichen Übernahme eines bestehenden Projektes etc eben ganz zu schweigen. Es gibt einen Grund, warum man schätzt, das Apple zumindest lange Zeit trotz 30% Anteil an den Milliardenumsätzen des AppStores daran keinen Gewinn gemacht hat. Weil die das mühselig händisch geprüft haben. Auf Qualität und Konformität und Sicherheit. Und das im Zweifel immer noch tun, oder ihr sand boxing beständig verbessern. Womit Software aber auch weniger kann. Ist also auch keine universalLösung
Antworten