Ten Malicious Libraries Found on PyPI - Python Package Index
The Slovak National Security Office (NBU) has identified ten malicious Python libraries uploaded on PyPI — Python Package Index — the official third-party software repository for the Python programming language. NBU experts say attackers used a technique known as typosquatting to upload Python libraries with names similar to legitimate packages — e.g.: "urlib" instead of "urllib." The PyPI reposit
Pretend Python packages prey on poor typing
The Slovakian National Security Authority on Thursday warned that PyPI, the repository for Python software packages, has been hosting malicious software libraries. The group's cybersecurity division, SK-CSIRT, identified 10 fake libraries designed to dupe developers through typosquatting. The names of the malicious libraries are almost identical to legitimate libraries, in the hope that fat-finger
Devs unknowingly use “malicious” modules snuck into official Python repository
The official repository for the widely used Python programming language has been tainted with modified code packages, a computer security authority in Slovakia warned. The authority also said the packages have been downloaded by unwitting developers who incorporated them into software over the past three months. Multiple code packages were uploaded to the Python Package Index, often abbreviated as
PyPIに悪意のあるパッケージがアップロードされていた | スラド デベロッパー
スロバキア政府のサイバーセキュリティ対策チーム SK-CSIRTは、Pythonパッケージの公式リポジトリ PyPI に悪意あるコードを含む10個の偽ライブラリパッケージがアップロードされていたことを発表した(SK-CSIRTアドバイザリー: skcsirt-sa-20170909-pypi、 Ars Technicaの記事、 The Registerの記事、 Bleeping Computerの記事)。 偽パッケージはいずれも有名パッケージのコピーで、オリジナルのパッケージ名を一部変えた名前が付けられている。コード自体はオリジナルと全く同じものだが、インストール時に実行されるスクリプトが悪意のあるコードを含むものに変えられていたとのこと。 SK-CSIRTの通報により既に問題のパッケージは全てリポジトリから削除されたが、公開されていた6月から9月の間に複数回のダウンロードが確認されている
bitarray
Unverified details These details have not been verified by PyPI Project links Homepage Meta License: PSF-2.0 Author: Ilan Schnell Classifiers Development Status 6 - Mature Intended Audience Developers Operating System OS Independent Programming Language C Python :: 3 Python :: 3.6 Python :: 3.7 Python :: 3.8 Python :: 3.9 Python :: 3.10 Python :: 3.11 Python :: 3.12 Python :: 3.13 Topic Utilities
PythonでTest::TCP的なことをするライブラリをPyPIに上げました | Nekoya press
PerlでいうところのTest::TCP相当のことをPythonでやるライブラリをPyPIに上げました。ようやくPyPIデビューです。 https://github.com/nekoya/python-tcptest https://pypi.python.org/pypi/tcptest Test::TCPはPerlでテスト時に一時的にサーバを起動したりする処理の基盤となるライブラリです。同等のことをPythonでやるのに適当なものが見当たらなかったので自分で書いたという経緯です。 社内では以前からこの仕組みを使ってテストを書いていたのですが、自社のconfig系のライブラリとの結合を排除して、再構成したものになります。今回こうして公開するにあたって、関数名をオリジナルのPerl版に近付けたり、TestServerの実装を全面的に見直したりしました。 tcptestパッケージにはTest
pip install や easy_install を速くするための pypi の設定変更 - methaneのブログ
pip や easy_install が突然速くなるかもしれない で紹介した pypi からのインストール高速化の第一弾が始まりました。 といっても、いきなり勝手に pypi 側でスクレイピングするURLを変更するのではなくて、パッケージ管理者が明示的に指定する方法になります。 pypi にパッケージをアップロードしている人は設定変更しましょう。 パッケージの管理画面のうち url の画面を開くと、この画像のようなページが表示されます。 まず、 Hosting Mode のところで、 "As above but also..." になっているのを "Do not extract..." に変えます。これで、アップロードしたファイル以外を探しに行くことがなくなります。 (pypi にパッケージをアップロードしていない人は、 download_url を指定して "Present URLs..
pip や easy_install が突然速くなるかもしれない - methaneのブログ
PyPI を安全に利用するために、先日デフォルトで https を利用する pip がリリースされました。 ですがこれで終わりではありません。 pip や easy_install は PyPI のページからリンクを辿ってスクレイピングしてパッケージを探しています。リンク先がhttpsでなかったらやっぱり安全ではありません。 実は、 90% のパッケージは PyPI に直接配布ファイルをアップロードしているらしいです。 現在、これらのパッケージで外部のURLを /simple ページに表示しないようにしようという議論が進行中です。 これが実施されると安心なだけでなく、余計なスクレイピングが発生しなくなって pip が高速になると思われます。 wktk です。 興味の有るかたは Catalog-SIG の ML を参照してください。
PyPI を使わないでデプロイする方法
pip、buildoutなどを使うとデプロイする時にPythonライブラリの依存関係はややこしいことがあります。普段はデプロイスクリプトで、pipにrequirements.txtを指定して、もしくは、buildoutを実行して、依存ライブラリを落としてインストールしますが、 PyPIがダウンしている場合、環境によって、PyPIにアクセス出来ない場合もありますので、デプロイが止まってしまって困ります。PyPIはダウンしている時にpipはPyPIのミラーを使うことができますが、ミラーに必要がパッケージバージョンが入っていない、ミラーの最後のIDのDNSがちゃんと動いていないときに、pipは当然ちゃんと動かない場合も。Bitbucketや、GitHubからのリポジトリに依存している場合、接続できなかったら、ミラーがないので、当然インストールできます。 つもり、デプロイは外部サイトに依存していて
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PyPICloud - PyPI backed by S3 or GCS — pypicloud 1.3.12 documentation
http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/
devpi-latest Documentation
cffi
Client Challenge
Client Challenge
Client Challenge
Client Challenge
Client Challenge
Client Challenge
Links for Pyjamas