ИКТ-новости Ростова

Самые популярные новости:

Как отключить ав­то­ма­ти­чес­кие платные подписки?

Эксперты Банка России: биометрия — это удобство и доброволь­ность

«Кван­то­ри­ум» даёт детям шанс получить отличную работу в будущем

Разработка под Android в Ростове: новые воз­мож­нос­ти от GDG

Сотовые операторы научились имитировать исходящие вызовы

Самый дешёвый мобильный Интернет в Ростове: выгодные тарифы 4G

Что лучше: Honor, Xiaomi или Huawei?

4G в Ростовской области: какой Интернет лучший?

Перенос номера: «уйти», чтобы остаться на лучших условиях?

Цифровое те­ле­ви­де­ние в смартфоне — без Интернета!

Локальная сеть дома: как настроить так, чтобы не взломали?

>>> все но­вос­ти Tech­no­Drive

Новые бесплатные курсы Python — и заражённые библиотеки

Язык программирования Python сейчас очень популярен. С его помощью можно создавать web-приложения, писать игры, заниматься анализом данных и решать десятки других задач. Поэтому бесплатный онлайн-курс «Программирование на Python», — а также его платные опции в виде доступа к тестам и выдачи сертификата Coursera, — заслуживают пристального внимания. Равно как и недавнее предупреждение экспертов по IT-безопасности, обнаруживших в официальном репозитории Python Package Index потенциально опасные библиотеки. Подробнее о том, как стать программистом Python, — и не попасть на удочку мошенников, — читайте в сегодняшнем выпуске TechnoDrive!

Начнём с приятных новостей! На этой неделе МФТИ и Mail.Ru Group запустили онлайн-курс «Программирование на Python», адресованный широкой аудитории. Занятия рассчитаны на 6 недель обучения, по 5-7 часов нагрузки в каждой. При этом слушателям достаточно лишь иметь базовые навыки программирования на любом языке.

В создании интерактивного учебника «Программирование на Python» приняли участие специалисты-практики, приложениями которых ежедневно пользуются миллионы людей. Таким образом, слушатели данного курса могут освоить передовые приёмы разработки ПО в ходе видеолекций. А за дополнительную плату (при желании) — проверить полученные знания в ходе тестирования и получить сертификат.

Записаться на курсы программирования Python можно уже сегодня, воспользовавшись приведённой выше ссылкой. Все занятия проводятся на русском языке.

Однако программистам стоит уделять внимание не только повышению своих профессиональных компетенций, — но и защите от киберпреступников. Ведь иногда заражённые библиотеки Python можно скачать даже в официальном репозитории, — что делает разработчика одновременно жертвой и пособником злоумышленников.

О подобном случае сообщают словацкие эксперты по ИТ-безопасности из группы SK-CSIRT. По их данным, неизвестные злоумышленники разместили в хранилище Python Package Index (PyPI) ряд библиотек, схожих по написанию и функционалу с оригинальными пакетами языка программирования. В частности, под видом urllib3 в хранилище был загружен urlib3, вместо acquisition — acqusition, вместо crypto — crypt и так далее. При этом, в отличии от оригиналов, скрипт-инсталлятор setup.py в подделках содержал дополнительный потенциально опасный код. При исполнении он связывается по HTTP с удалённым сервером в Китае, отправляя в зашифрованном виде название и версию подложного пакета, имя установившего его пользователя и имя узла.

Специалисты SK-CSIRT выяснили, что подставные пакеты были многократно скачаны и встроены в программы, выпущенные с июня по сентябрь текущего года. И теперь программистам Perl, — а также системным администраторам, — предстоит серьёзная работа над ошибками.

Прежде всего, эксперты рекомендуют изучить названия всех библиотек с помощью утилиты pip, — и, при обнаружении подделок, незамедлительно удалить их (обнаруженные SK-CSIRT «фейки» были изъяты из PyPI, но вероятность появления там новых подделок сохраняется). Для этого используется следующая команда:

pip list --format=legacy | egrep "^(acqusition|apidev-coop|bzip|crypt|django-server|pwd|setup-tools|telnet|urlib3|urllib)"

Если у вас нет компроментированных библиотек, команда не должна выводить ничего.

Отметим, что в последнее время программисты всё чаще страдают от преступников, подделывающих популярные библиотеки. Например, минувшим летом «зловредная начинка» оказалась в популярных пакетах JavaScript... И это значит, что совершенствуя навыки программирования, современным девелоперам стоит уделять ничуть не меньше внимания и курсам по ИТ-безопасности, в изобилии доступным онлайн.

Полный список новостей TechnoDrive
© 2001-2021 Борис Зубов, contact@technodrive.ru