アカウント名:
パスワード:
今回はまだ「有名パッケージのコピー」という偽物だったからすぐに対処されて終わったがこれがスマホの某アプリのように、とりま無料かつ広告なしの優良アプリとして名を馳せておいてある程度知名度が出てから、ある日突然、無料版は有料版への橋渡しアプリと化したりしたらどうなんの?例えばOpenPyXLの作者なんかが、ある日突然小遣い稼ぎがしたくなってそんなことやりだしたらどうにもならなくね?「有名パッケージのコピー」という紛い物だったから、今回は難無く対処できたけど、正規の作者がマルウェア仕込むのは止められないよねしかもこれ、PyPIだけでなくCPANやGems、更にはGoやRustのようにGitHubから直接落としてくるタイプのパッケージマネージャを使っていても対処不可能
この事件は歴史を変えたお金が稼ぎたくなった作者からどんどん後に続いてくぞこれ
#性善説は脆弱
何それ、Linux全否定なの?それどころか、MicrosoftやApple、Googleが同じ事しても防げないじゃん。
性善説っていうより、自分の能力を超えた物を扱うには、信頼出来る何かが必要ってだけでしょう。結局、自分がどこまで信用するかってだけの、チキンゲームです。
今回の件で、PyPIの信用が落ちたのは言うまでも無いので、何か対策を打って欲しいですね。
ソース読めってことだよ公開されてるんだから読まないやつが悪い
なるほど。ソース読むコストも考えたら、オープンソースを業務に使用するなんて無理だな。
動作検証する手間を考えたらオープンソース以上にプロプライエタリは使えないな
なんで?オープンソースでも動作検証は必要だよ。プロプライエタリなら一部環境での検証はベンダー側がやってくれてるから、少し手間が減る。仮に動作検証が同じコストとしても、ソース読むというか、素性確認も必要だからオープンソースの方がコストがかかる。
そのベンダーは信用できるのですかー?
#堂々巡り
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
サラッと書いてあるけど物凄い事件だな (スコア:-1)
今回はまだ「有名パッケージのコピー」という偽物だったからすぐに対処されて終わったが
これがスマホの某アプリのように、とりま無料かつ広告なしの優良アプリとして名を馳せておいて
ある程度知名度が出てから、ある日突然、無料版は有料版への橋渡しアプリと化したりしたらどうなんの?
例えばOpenPyXLの作者なんかが、ある日突然小遣い稼ぎがしたくなってそんなことやりだしたらどうにもならなくね?
「有名パッケージのコピー」という紛い物だったから、今回は難無く対処できたけど、正規の作者がマルウェア仕込むのは止められないよね
しかもこれ、PyPIだけでなくCPANやGems、更にはGoやRustのようにGitHubから直接落としてくるタイプのパッケージマネージャを使っていても対処不可能
この事件は歴史を変えた
お金が稼ぎたくなった作者からどんどん後に続いてくぞこれ
#性善説は脆弱
Re: (スコア:0)
何それ、Linux全否定なの?
それどころか、MicrosoftやApple、Googleが同じ事しても防げないじゃん。
性善説っていうより、自分の能力を超えた物を扱うには、信頼出来る何かが必要ってだけでしょう。
結局、自分がどこまで信用するかってだけの、チキンゲームです。
今回の件で、PyPIの信用が落ちたのは言うまでも無いので、何か対策を打って欲しいですね。
Re: (スコア:0)
ソース読めってことだよ
公開されてるんだから
読まないやつが悪い
Re: (スコア:0)
なるほど。
ソース読むコストも考えたら、オープンソースを業務に使用するなんて無理だな。
Re: (スコア:0)
動作検証する手間を考えたらオープンソース以上にプロプライエタリは使えないな
Re: (スコア:0)
なんで?
オープンソースでも動作検証は必要だよ。
プロプライエタリなら一部環境での検証はベンダー側がやってくれてるから、少し手間が減る。
仮に動作検証が同じコストとしても、ソース読むというか、素性確認も必要だからオープンソースの方がコストがかかる。
Re:サラッと書いてあるけど物凄い事件だな (スコア:0)
そのベンダーは信用できるのですかー?
#堂々巡り