据统计,超过 22,000 个程序包处于风险之中,可能会影响数十万名用户。...Revival Hijack – 如何运作 与依赖于用户拼写错误包名称的传统攻击手法不同,Revival Hijack 利用了流行包的删除和重新注册。...当开发人员从 PyPI 中删除他们的项目时,包名称可供其他任何人注册。然后,攻击者可以上传这些包的恶意版本,毫无戒心的用户可能会下载并安装这些包,认为它们是合法的。...JFrog 的技术分析显示,超过 22,000 个 PyPI 包暴露在 Revival Hijack 攻击中。这意味着数十万用户可能会在不知不觉中下载有害软件。...他们还敦促用户保持警惕,并确保他们的CI/CD系统不会尝试安装已从 PyPI 中删除的软件包。
但此时安装命令已经开始运行了,因为openvc其实也是一个真实存在的软件包,不过却是个恶意软件包。 ? 最近,安全公司Sonatype发现,很多恶意软件都伪装成常见的PyPI包,往往只差几个字母。...PyPI今年有多个与之类似的恶意软件包,如mplatlib、maratlib(记住这个软件包名称)等等。 这类“李鬼”共有7种之多,都是一个叫做nedog123的用户上传到PyPI。...但是,据Sonatype公司统计,这7个李鬼软件已经总共被下载超过5000次。 恶意PyPI包防不胜防 这次发现的maratlib,可能只是PyPI恶意软件包的冰山一角。...PyPI包管理工具的问题一直为用户所诟病。 今年2月,有人将CUDA加速包CuPy换成了恶意软件。...使用pip请谨慎 那么,我们如何预防被安装恶意的PyPI软件包? 你以为只要认真检查安装命令就行了?No!
那就是从基于网关 access 日志统计分析转化到具体的场景中的通用业务模型。 详细的介绍请参考《性能测试实战30讲》 中的 【14丨性能测试场景:如何理解业务模型?】 通用业务场景模型。...那么,我们的需求来了,如何通过分析 access 日志,获取每个接口网关处理时间最大值、最小值、平均值及访问量。这里我扩展了获取每个接口网关处理时间的统计分析,方便我们对接口的性能评估。...下载依赖库: #pip3 install 包名 -i 源的url 临时换源 #清华大学源:https://pypi.tuna.tsinghua.edu.cn/simple/ # 强大的数据结构库,用于数据分析...,时间序列和统计等 pip3 install pandas -i https://pypi.tuna.tsinghua.edu.cn/simple/ # 处理 URL 的包 pip3 install...://pypi.tuna.tsinghua.edu.cn/simple/ 具体的代码如下: #统计每个接口的处理时间 #请提前创建 log 并设置 logdir import sys import os
截止目前,国内部分Python镜像源仍缓存这些恶意包,其Pypi官方包下载量为758次。...截止目前,这两个恶意Python包总下载量为904次。以user-agents-parsers为例,目前该恶意Py包仍可从国内主流Pypi镜像源(清华大学、腾讯云等)下载安装。...以multihttps为例,目前该恶意py包仍可从国内主流Pypi镜像源(清华大学、腾讯云等)下载安装。以国内清华大学镜像源为例,可通过以下命令测试安装该恶意组件包。...此外,对于 Python组件reqargs在官方Pypi上连续发布4个不同版本恶意包。该组件安装包的setup.py文件被植入远程下载执行木马文件的恶意代码(如下图所示)。...目前该恶意Py包仍可从国内主流Pypi镜像源(清华大学、腾讯云等)下载安装。以国内清华大学镜像源为例,可通过以下命令测试安装该恶意组件包。
influxdb-5.0.0-py2.py3-none-any.whl 下载地址: https://pypi.org/project/influxdb/#files 下载地址:https://pan.baidu.com.../s/1DQ0HGYNg2a2-VnRSBdPHmg paramiko 1.15.2 下载地址: https://pypi.python.org/pypi/paramiko/1.15.2 https:/...: https://pypi.python.org/pypi/cryptography/1.0 https://pan.baidu.com/s/1jIRBJvg 安装好后,找到nt.py(本例中路径为:...module> import winrandom ImportError: No module named 'winrandom' VS2010 因操作系统而异,可能需要安装VS2010,以解决包依赖问题...,针对单台机器的过滤项是在这个基础上做的进一步过滤 2、如果逻辑CPU个数,磁盘设备,网卡设备过多的情况下,如果不过滤对应指标,可能会因为采集的数据量过大,解析耗时加长,无法及时显示所要的数据(特别是CPU
influxdb-5.0.0-py2.py3-none-any.whl 下载地址: https://pypi.org/project/influxdb/#files 下载地址:https://...pan.baidu.com/s/1DQ0HGYNg2a2-VnRSBdPHmg paramiko 1.15.2 下载地址: https://pypi.python.org/pypi/paramiko...: https://pypi.python.org/pypi/cryptography/1.0 https://pan.baidu.com/s/1jIRBJvg 安装好后,找到nt.py(本例中路径为...in import winrandom ImportError: No module named 'winrandom' VS2010 因操作系统而异,可能需要安装VS2010,以解决包依赖问题...,针对单台机器的过滤项是在这个基础上做的进一步过滤 2、如果逻辑CPU个数,磁盘设备,网卡设备过多的情况下,如果不过滤对应指标,可能会因为采集的数据量过大,解析耗时加长,无法及时显示所要的数据(特别是
第一步:安装必备的python包 pandas、pandasql。这是用pip 指定清华大学镜像秒下载秒安装。...python -m pip install pandas -i https://pypi.tuna.tsinghua.edu.cn/simple/ python -m pip install pandasql...-i https://pypi.tuna.tsinghua.edu.cn/simple/ 第二步:引用已经安装好的包 import pandas as pd from pandasql import...dfdata = pd.read_csv("data.csv") 第四步:玩转数据的四大操作 我们是用结构化的查询语句,通常对数据做四种类型的操作:数据映射(要查的数据数据列 select 操作)、数据过滤...(筛选出想要的数据 where操作)、数据聚合(多维数据的分组统计 group by 操作)、数据联结(整合数据方便阅读 join操作)。
new 源码地址:https://github.com/iOSDevLog/slmethod 下载代码到本地,使用 ssh 协议。...它告诉 setuptools 你的包(例如名称和版本)以及要包含的代码文件。 打开 setup.py 并输入以下内容,更新软件包名称以包含您的用户名。...请务必使用您的用户名更新此内容, 因为这样可确保您不会尝试上传与上传程序包时已存在的程序包相同的程序包。 version 是包版本看 PEP 440 有关版本的更多详细信息。...您需要做的第一件事是在 Test PyPI 上注册一个帐户。Test PyPI 是用于测试和实验的包索引的单独实例。这对于像我们不一定想要上传到真实索引的本教程这样的东西很棒。.../legacy/ dist/* 系统将提示您输入使用 Test PyPI 注册的用户名和密码。
我想对此做进一步的探讨,因此在本文中,我将逐步介绍如何安装和分析PyPI中的软件包并寻找恶意攻击活动。...如何查找恶意包 为了在安装过程中运行任意命令,作者通常将代码添加到其程序包中的setup.py文件中。...我也过滤掉了要从pypi.org或files.pythonhosted.com进行的网络读取/写入,因为我不想被与软件包下载相关的事件写满日志。...通过捕获系统调用的方法,我不得不解决另一个问题:如何获取所有PyPI软件包的列表。...之后,我们可以使用BigQuery上的PyPI公开数据集,查看该包的下载次数。
以及,聊聊如何快速的发布一个 Python 软件包。...下面讲讲如何使用这个小工具。...OpenCV Fixer 工具的使用非常简单,和使用普通的软件包一样,使用 pip install 来完成工具包的下载: pip install opencv-fixer==0.2.5 软件的修复需要进行...-一长串Token 如果你是 macOS 用户,在不配置或者更新本地 Python 环境的情况下,如果想直接发布一个软件包,可能会比较麻烦。...发布过程中,我们可以配置软件源和完成依赖软件包的下载: pip config set global.index-url https://pypi.tuna.tsinghua.edu.cn/simple
用户之间的文件共享很常见,自动化安全工具通常会错过嵌入在软件包中的恶意脚本。无论如何,参与游戏破解的用户倾向于将杀毒软件检测视为误报。...例如,寻求Solara(Roblox Lua脚本执行器)帮助的用户可能会被引导下载恶意npm或PyPI软件包。此操作可能会在其主机上部署远程访问木马(RAT)。...针对Roblox用户的PyPI活动 该活动最初专门针对Roblox游戏“Da Hood”的玩家,这是该平台上最受欢迎的游戏之一。...总结 一个针对 Roblox 用户的持续活动突显了网络犯罪分子如何利用活跃的游戏社区来扩大其攻击范围。...为了应对这种持续存在的威胁,修改者必须严格验证软件包的真实性,警惕社会工程策略,并在与不受信任的来源的建议互动时谨慎行事。
由于近些年针对软件的供应链的攻击越来越频繁,据 SonaType 的统计从 2019 年到 2022 年针对开源软件的攻击增长了 742%,因此 2021 年 Google 提出的解决方案是软件工件供应链级别...内容 构建纯净的Python包 生成出处证明 上传到PyPI 验证Python包的来源 文中用到的项目 下面是从维护人员到用户的端到端工作流程:从构建 Wheel package -> 生成出处 ->...验证出处 -> 发布到 PyPI -> 以及用户验证出处 -> 安装 wheel。...下载完 slsa-verifier 工具后,让我们从 PyPI 获取 urllib3 wheel 包,而不使用 pip download[11]..../urllib3-2.1.0-py3-none-any.whl Successfully downloaded urllib3 下载软件包后,我们需要从 GitHub 版本下载出处证明。
[开发技巧]·如何让离线安装Python包 1.问题描述 PyPI(Python Package Index)是python官方的第三方库的仓库,所有人都可以下载第三方库或上传自己开发的库到PyPI...官方推荐使用pip包管理器来下载第三方库。 一般在联网的状态下,用户可以直接通过 pip install x 指令(x表示需要安装的包)安装到当前python环境中。...这时用户可以通过在其他机器下载PyPI包,复制到当前机器中,再执行步骤2来安装。...下面使用一个实例演示如何操作 2.实战演练 PyPI官方地址: https://pypi.org/ 如果需要加速可以选取国内源: 阿里云 http://mirrors.aliyun.com/pypi/simple...3.问题延伸 提问:当需要离线安装的Python包,需要依赖其他Python包的时候如何操作?
但是翻着翻着页面你就会发现:未登录用户只能访问优先的界面,登录的用户才能有权限去访问后面的页面。 ? 所以这个流程应该是 登录——> 爬虫——>存储——>可视化分析。...其中pip用到包如下,直接用清华 镜像下载不然很慢很慢(够贴心不)。...percent_type=&start=40&其他参数省略 对于每个url访问之后如何提取信息呢?...可视化分析 我们要对评分进行统计、词频统计。还有就是生成词云展示。而对应的就是matplotlib、WordCloud库。...实现的逻辑思路:读取xls的文件,将评论使用分词处理统计词频,统计出现最多的词语制作成直方图和词语。将评星?
写在前面的话 大约一年前,Python软件基金会(Python Software Foundation,RFI)公开了一个信息请求(RFI),讨论的是如何检测上传到PyPI的恶意软件包,这显然是一个影响几乎每个包管理器的实际问题...事实上,像PyPI这样的包管理器是几乎每个公司都依赖的关键基础设施。这是我感兴趣的一个领域,所以我用我的想法回应我们应该如何去处理这个问题。...在这篇文章中,我将详细介绍如何安装和分析PyPI中的每个包,并寻找其中潜在的恶意活动。...除此之外,我还过滤掉了跟pypi.org或files.pythonhosted.com相关的网络读写操作,因为它们跟我们的目标无关。...现在我们已经有了捕获系统调用的方法,但还有一个不得不解决的问题,即如何获取所有可用PyPI包的完整列表。
项目依赖 requirements.txt 安装方法: x:root用户(避免多python环境产生问题): pip3 install -i https://pypi.tuna.tsinghua.edu.cn.../simple -r requirements.txt 非root用户(避免安装和运行时使用了不同环境): pip3 install -i https://pypi.tuna.tsinghua.edu.cn...python3,以下启动默认环境变量为python3 python3 run.py t 启动前请先筛选cdn,这点很重要 python3 run.py c 启动服务 python3 run.py r 如果你不知道如何操作...—————————————————————— sage: run.py [-h] operate positional arguments: operate r: 运行抢票程序, c: 过滤...所以请前往项目源地址进行查看,暂不提供现成压缩包。
用户在安装的过程中执行命令盗取用户信息,或者是从远程下载恶意软件植入后门,开启挖矿进程占用资源。...攻击者会注册一个与目标软件包名称相似但存在拼写错误的软件包名称,然后上传一个恶意软件包到这个软件包名称下,使得用户在安装软件包时误输入错误的软件包名称,从而下载并安装恶意软件包。...typosquatting攻击可以利用用户的拼写错误和疏忽大意,骗取用户下载恶意软件包,从而对用户的电脑和数据造成危害。...附上正常项目的代码仓库和star数,其实用户实际下载的代码和仓库中的完全不同。可以通过检测仓库名和下载的包名是否一致,开发者的名称是否一致,包中的代码和仓库中的是否一致进行判断。...可以使用污点分析的方式,判断是否有进行过滤,是否存在敏感信息泄露,危险代码下载的情况。静态分析的检测方式速度会比较快,但是检测效果并不能很理想。
概述悬镜安全自研的开源组件投毒检测平台通过对主流开源软件仓库(包括Pypi、NPM、Ruby等)发布的组件包进行持续性监控和自动化代码安全分析,同时结合专家安全经验复审,能够及时发现组件包投毒事件并精确定位恶意代码片段...、graphql32等多个版本的恶意Py包,这些恶意包命中了检测引擎的安全风险规则,通过进一步对恶意包样本的人工分析后,确认这是一起有针对性的投毒攻击事件,投毒者的攻击对象是Windows操作系统用户,...投毒攻击流程当Python开发者使用pip install从Pypi官方仓库或下游镜像源直接安装或者依赖引用恶意组件包时,将自动触发执行恶意安装包setup.py中的第一阶段攻击代码,第一阶段攻击代码将从远程服务器下载第二...IoC数据此次投毒组件包涉及的恶意文件和恶意链接IoC数据如下所示:总结截止目前,投毒攻击者所使用的恶意代码载荷URL依然有效,虽然相关的投毒组件包已经从官方仓库Pypi上下架,但其依然存活于国内各大Pypi...镜像源中,因此对于国内广大开发者来说仍需提供安全防范意识,除了自行排查现有Py安装包外,建议尽量使用官方Pypi仓库源。
幸运的是,通过换用国内优质的PyPI镜像源,我们可以轻松绕过这些障碍,让包安装过程变得流畅而迅速。本文将带您深入了解如何为pip换源,开启高效开发的新篇章。...然而,由于网络环境的差异,国内用户在通过pip安装Python包时,可能会遇到下载速度慢、连接超时等问题。为了解决这些问题,换用国内的源(镜像)成为了一个常见的解决方案。...本文将介绍如何为pip换源,以提升包安装的速度和稳定性。 一、为什么需要换源? 默认情况下,pip会从Python Package Index(PyPI)下载包。...由于PyPI的服务器位于国外,国内用户访问时可能会受到网络延迟、带宽限制等因素的影响,导致下载速度缓慢甚至失败。...版本更新:由于源是镜像PyPI的,所以包的版本可能与PyPI保持一致,但偶尔也可能会有延迟。 安全性:虽然国内镜像提供了便利,但请确保你信任的源是安全的,避免安装到恶意包。
Python的内置库也不错, 但是还有多个更快的JSON库可用: 如何选择使用哪一个呢?...步骤 2: 定义基准 如果你查看各种JSON库的基准页面,你会发现它们都会讨论如何处理各种不同的消息。然而,这些消息并不一定与你的使用相关。...基于一些真实的日志,我整理出了以下示例消息: 步骤 3: 根据附加要求来过滤 性能并不是一切——你可能还会关心其他一些事情。在我的例子中: 安全性/抗崩溃性:日志消息可以包含来自不可信源的数据。...hyperjson只有针对macOS的包,而且总体看起来也相当不成熟。 步骤 4: 基准测试 最后的两个竞争者是rapidjson和orjson。...orjson的用户比rapidjson要少(比较orjson PyPI stats和rapidjson PyPI stats),并且它也没有Conda包,所以我必须自己为Conda-forge对它进行打包
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
腾讯会议
云直播
对象存储
