随机微笑你不认识的人是令人毛骨悚然的。
但我的观点是,开源本身没有任何意义是与任何一致性审查,任何超过一个可以假定封闭源代码审查。这是一个人的坏习惯,假设开源是神奇地安全纯粹由于可用的代码检查,使假设很多人实际上是在做杂务。
叹息,只是心理上复制' n粘贴昨天从我的评论ransomeware故事,这样我不需要重新输入在这里,好吗?
短版:我们不会解决这个问题,不是因为我们不知道(审核第三方代码将在您的项目之前,主机而不是你自己的版本,升级时重复),而是因为这样做太大的难度和费用对于大多数组织。
老实说,有多少dev商店,人才,和资源审计他们的第三方代码供应链,尤其是一旦你玩chase-the-dependnecy一路下来吗?我敢打赌,答案是足够接近零,承认没有区别。
第二最好的——从有信誉的销售渠道获取代码,检查你的签名,控制你的版本,只有升级当有理由这样做可以实现的,但除非某人,某个地方,是执行“审计代码”的步骤,你被困在这样的事情发生了。
叹息,只是心理上复制' n粘贴昨天从我的评论ransomeware故事,这样我不需要重新输入在这里,好吗?
短版:我们不会解决这个问题,不是因为我们不知道(审核第三方代码将在您的项目之前,主机而不是你自己的版本,升级时重复),而是因为这样做太大的难度和费用对于大多数组织。
老实说,有多少dev商店,人才,和资源审计他们的第三方代码供应链,尤其是一旦你玩chase-the-dependnecy一路下来吗?我敢打赌,答案是足够接近零,承认没有区别。
第二最好的——从有信誉的销售渠道获取代码,检查你的签名,控制你的版本,只有升级当有理由这样做可以实现的,但除非某人,某个地方,是执行“审计代码”的步骤,你被困在这样的事情发生了。
叹息,只是心理上复制' n粘贴昨天从我的评论ransomeware故事,这样我不需要重新输入在这里,好吗?
短版:我们不会解决这个问题,不是因为我们不知道(审核第三方代码将在您的项目之前,主机而不是你自己的版本,升级时重复),而是因为这样做太大的难度和费用对于大多数组织。
老实说,有多少dev商店,人才,和资源审计他们的第三方代码供应链,尤其是一旦你玩chase-the-dependnecy一路下来吗?我敢打赌,答案是足够接近零,承认没有区别。
第二最好的——从有信誉的销售渠道获取代码,检查你的签名,控制你的版本,只有升级当有理由这样做可以实现的,但除非某人,某个地方,是执行“审计代码”的步骤,你被困在这样的事情发生了。
叹息,只是心理上复制' n粘贴昨天从我的评论ransomeware故事,这样我不需要重新输入在这里,好吗?
短版:我们不会解决这个问题,不是因为我们不知道(审核第三方代码将在您的项目之前,主机而不是你自己的版本,升级时重复),而是因为这样做太大的难度和费用对于大多数组织。
老实说,有多少dev商店,人才,和资源审计他们的第三方代码供应链,尤其是一旦你玩chase-the-dependnecy一路下来吗?我敢打赌,答案是足够接近零,承认没有区别。
第二最好的——从有信誉的销售渠道获取代码,检查你的签名,控制你的版本,只有升级当有理由这样做可以实现的,但除非某人,某个地方,是执行“审计代码”的步骤,你被困在这样的事情发生了。
我同意你的现状的总结,尤其是作为一个维护者PyPI上一些比较流行的包,缺乏企业花钱支持他们的供应链,但我认为你的结论是有点宿命论的。我们不会解决这个问题与当前模型,但我们可以改变游戏大大:Python包装社区已经调查需要更换什么设置。py和不可执行(如pyproject.toml),我们可以得到很多里程沙盒和检查,有不同程度的疼痛。
例如,它会有趣的探索为包有不同的安装需求,使用exec, ctypes或子流程,使用沙盒或类似的框架在MacOS, Windows, Linux等所以你可以“pip安装foo”任何不想访问任意文件,但需要一些额外的批准允许文件系统访问以外的项目目录或运行其他进程。我想知道是否会有一些类型的污染机制,基本上你需要声明在包清单所需的特权和使用沙箱政策声明只允许访问,与一些社会努力迁移现有的包。
我绝对不是说很容易,但我想离开这的唯一方式是改变模型减少不平衡。它就像我们没有如何减少汽车事故,告诉大家小心开车,而是立法安全玻璃时,更好的刹车,安全气囊等。
是的,这是一个经常评论我的那些经常传教一块特定的开源软件和妖魔化另一个,因为它的闭源。一个好的提醒,只因为某人可以检查开源的代码错误或恶意的变化,这并不意味着任何人是检查代码。
一个好的提醒,只因为某人可以检查开源的代码错误或恶意的变化,这并不意味着任何人是检查代码。
叹息,只是心理上复制' n粘贴昨天从我的评论ransomeware故事,这样我不需要重新输入在这里,好吗?
短版:我们不会解决这个问题,不是因为我们不知道(审核第三方代码将在您的项目之前,主机而不是你自己的版本,升级时重复),而是因为这样做太大的难度和费用对于大多数组织。
老实说,有多少dev商店,人才,和资源审计他们的第三方代码供应链,尤其是一旦你玩chase-the-dependnecy一路下来吗?我敢打赌,答案是足够接近零,承认没有区别。
第二最好的——从有信誉的销售渠道获取代码,检查你的签名,控制你的版本,只有升级当有理由这样做可以实现的,但除非某人,某个地方,是执行“审计代码”的步骤,你被困在这样的事情发生了。
我同意你的现状的总结,尤其是作为一个维护者PyPI上一些比较流行的包,缺乏企业花钱支持他们的供应链,但我认为你的结论是有点宿命论的。我们不会解决这个问题与当前模型,但我们可以改变游戏大大:Python包装社区已经调查需要更换什么设置。py和不可执行(如pyproject.toml),我们可以得到很多里程沙盒和检查,有不同程度的疼痛。
例如,它会有趣的探索为包有不同的安装需求,使用exec, ctypes或子流程,使用沙盒或类似的框架在MacOS, Windows, Linux等所以你可以“pip安装foo”任何不想访问任意文件,但需要一些额外的批准允许文件系统访问以外的项目目录或运行其他进程。我想知道是否会有一些类型的污染机制,基本上你需要声明在包清单所需的特权和使用沙箱政策声明只允许访问,与一些社会努力迁移现有的包。
我绝对不是说很容易,但我想离开这的唯一方式是改变模型减少不平衡。它就像我们没有如何减少汽车事故,告诉大家小心开车,而是立法安全玻璃时,更好的刹车,安全气囊等。
,这将有助于确定但它仍然使代码库本身容易受到太阳风风格的攻击。如果开发人员安装一个有毒的图书馆和推进到生产网络服务器,它仍然是一个巨大的问题,即使是沙箱的代码。它会有http访问和连接到数据库服务器。游戏结束。这将是伟大的阻止更多的驱动器加密攻击但我不确定我们如何真正解决这个问题没有严重的生产力。
也许有些批准和审查白名单的库和版本好吗?这很棘手和不愉快。
我想知道为什么1不能被一个质数。',排除1的定义似乎是相当武断的。真的吗?因为我认为它看起来更像Visual Basic !这是一些时髦的Python代码在标题图片。Python 4000看起来很像Java !
原始的
最早期的希腊人甚至不认为1是一个数字,[36][37],这样他们可以不考虑其根本。一些数学家从这次也被认为是质数是奇数的细分,所以他们还没有考虑2 '。然而,欧几里得和大多数其他的希腊数学家认为2 '。中世纪伊斯兰数学家主要跟随希腊人在观看1不是一个数字。[36]在中世纪和文艺复兴时期的数学家开始治疗1作为一个数字,其中包括第一个质数。[38]在18世纪中叶基督教哥德巴赫上市1与欧拉'在他的信件;然而,欧拉自己没有考虑1 '。[39]在19世纪许多数学家们仍然认为1 '[40]和列表的质数,包括1继续在最近的1956年出版。[41][42]
如果素数的定义改为叫1 ',许多语句涉及质数需要改更尴尬。例如,算术基本定理需要描述的分解成素数大于1,因为每一个数字都可以分解成多个具有不同拷贝数1。该方法[40]同样,埃拉托斯特尼筛法不会正常工作,如果处理1 ',因为这将消除所有1的倍数(也就是说,所有其他数字)和输出只有单一的1号。[42]其他更多的技术属性的质数也不持有数1:例如,欧拉totient函数的公式或因子之和函数是不同的素数比为1。[43]到了20世纪初,数学家开始同意,1不应列为',而是在自己的特殊类别为“单位”[40]。
叹息,只是心理上复制' n粘贴昨天从我的评论ransomeware故事,这样我不需要重新输入在这里,好吗?
短版:我们不会解决这个问题,不是因为我们不知道(审核第三方代码将在您的项目之前,主机而不是你自己的版本,升级时重复),而是因为这样做太大的难度和费用对于大多数组织。
老实说,有多少dev商店,人才,和资源审计他们的第三方代码供应链,尤其是一旦你玩chase-the-dependnecy一路下来吗?我敢打赌,答案是足够接近零,承认没有区别。
第二最好的——从有信誉的销售渠道获取代码,检查你的签名,控制你的版本,只有升级当有理由这样做可以实现的,但除非某人,某个地方,是执行“审计代码”的步骤,你被困在这样的事情发生了。
我同意你的现状的总结,尤其是作为一个维护者PyPI上一些比较流行的包,缺乏企业花钱支持他们的供应链,但我认为你的结论是有点宿命论的。我们不会解决这个问题与当前模型,但我们可以改变游戏大大:Python包装社区已经调查需要更换什么设置。py和不可执行(如pyproject.toml),我们可以得到很多里程沙盒和检查,有不同程度的疼痛。
例如,它会有趣的探索为包有不同的安装需求,使用exec, ctypes或子流程,使用沙盒或类似的框架在MacOS, Windows, Linux等所以你可以“pip安装foo”任何不想访问任意文件,但需要一些额外的批准允许文件系统访问以外的项目目录或运行其他进程。我想知道是否会有一些类型的污染机制,基本上你需要声明在包清单所需的特权和使用沙箱政策声明只允许访问,与一些社会努力迁移现有的包。
我绝对不是说很容易,但我想离开这的唯一方式是改变模型减少不平衡。它就像我们没有如何减少汽车事故,告诉大家小心开车,而是立法安全玻璃时,更好的刹车,安全气囊等。
叹息,只是心理上复制' n粘贴昨天从我的评论ransomeware故事,这样我不需要重新输入在这里,好吗?
短版:我们不会解决这个问题,不是因为我们不知道(审核第三方代码将在您的项目之前,主机而不是你自己的版本,升级时重复),而是因为这样做太大的难度和费用对于大多数组织。
老实说,有多少dev商店,人才,和资源审计他们的第三方代码供应链,尤其是一旦你玩chase-the-dependnecy一路下来吗?我敢打赌,答案是足够接近零,承认没有区别。
第二最好的——从有信誉的销售渠道获取代码,检查你的签名,控制你的版本,只有升级当有理由这样做可以实现的,但除非某人,某个地方,是执行“审计代码”的步骤,你被困在这样的事情发生了。