パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

PyPIに悪意のあるパッケージがアップロードされていた」記事へのコメント

  • 今回はまだ「有名パッケージのコピー」という偽物だったからすぐに対処されて終わったが
    これがスマホの某アプリのように、とりま無料かつ広告なしの優良アプリとして名を馳せておいて
    ある程度知名度が出てから、ある日突然、無料版は有料版への橋渡しアプリと化したりしたらどうなんの?
    例えばOpenPyXLの作者なんかが、ある日突然小遣い稼ぎがしたくなってそんなことやりだしたらどうにもならなくね?
    「有名パッケージのコピー」という紛い物だったから、今回は難無く対処できたけど、正規の作者がマルウェア仕込むのは止められないよね
    しかもこれ、PyPIだけでなくCPANやGems、更にはGoやRustのようにGitHubから直接落としてくるタイプのパッケージマネージャを使っていても対処不可能

    この事件は歴史を変えた
    お金が稼ぎたくなった作者からどんどん後に続いてくぞこれ

    #性善説は脆弱

    • by Anonymous Coward

      何それ、Linux全否定なの?
      それどころか、MicrosoftやApple、Googleが同じ事しても防げないじゃん。

      性善説っていうより、自分の能力を超えた物を扱うには、信頼出来る何かが必要ってだけでしょう。
      結局、自分がどこまで信用するかってだけの、チキンゲームです。

      今回の件で、PyPIの信用が落ちたのは言うまでも無いので、何か対策を打って欲しいですね。

      • by Anonymous Coward

        ソース読めってことだよ
        公開されてるんだから
        読まないやつが悪い

        • by Anonymous Coward

          なるほど。
          ソース読むコストも考えたら、オープンソースを業務に使用するなんて無理だな。

          • by Anonymous Coward

            動作検証する手間を考えたらオープンソース以上にプロプライエタリは使えないな

            • by Anonymous Coward

              なんで?
              オープンソースでも動作検証は必要だよ。
              プロプライエタリなら一部環境での検証はベンダー側がやってくれてるから、少し手間が減る。
              仮に動作検証が同じコストとしても、ソース読むというか、素性確認も必要だからオープンソースの方がコストがかかる。

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...