【悲報】ITmediaさん、Python憎しで異常なデマ記事を公開してしまう

**それでも動く名無し** · 2023/08/12(土) 22:09:02.92

Pythonにおけるimportの危険性とは　全ての運用関係者が知っておくべきPython特有のセキュリティリスク
https://atmarkit.itmedia.co.jp/ait/articles/2308/12/news031.html

**それでも動く名無し** · 2023/08/12(土) 22:10:34.65

インポート時にコードを実行するPythonの機能は、企業に3つのレベルのリスク（偶発的リスク、意図的リスク、外部リスク）をもたらす。

偶発的なリスクは、開発者がテストなどを実施するためにインポートのトップレベルの本体に何かを変更または追加し、
完了後にその特定のコードを削除するのを忘れる場合に発生する。これにより、不要なリソースが使用されたり、
無意味なエラーメッセージがログファイルに追加されたり、無限ループや同様の問題を含むテストが実行されたりする可能性がある。
コード自体はどこにも明示的に呼び出されないため、これらの問題を追跡するのは困難だ。

意図的なリスクは、不満を抱いた開発者が悪意を持ってインポートのトップレベル本文を変更する場合に発生する。
これにより、例えばクリプトマイニングルーチンの実行、機密情報のネットワーク外へのエクスポート、ネットワークへのバックドア、
トロイの木馬のインストール、さらには意図的に見つけにくい場所でコードをクラッシュさせることさえ可能になる。

外部リスクはおそらく最も潜在的なリスクだ。ここでは、開発者は誰も、偶然かどうかにかかわらず何も悪いことはしていない。
代わりに悪意のある第三者が、企業が使用する外部ライブラリを侵害する。その後、悪意のある攻撃者が企業のネットワークに
バックドアをインストールして、データを侵害したり、暗号通貨をマイニングしたり、ランサムウェア攻撃を開始したりする可能性がある。

**それでも動く名無し** · 2023/08/12(土) 22:11:04.54

なんやそれ、流石に気になるが
C以外にもOSに悪影響あるのあるんか？

**それでも動く名無し** · 2023/08/12(土) 22:11:33.80

あれだけ一人勝ちだと狙われそうよな
一文字も読んでないけど

**それでも動く名無し** · 2023/08/12(土) 22:11:33.94

グダグダ書いてるけどインポート時にコードが実行されることを殊更危険視する理由になってなくて草枯れるわ
ライブラリ使う以上インスタンス化時に悪意があるコードが実行される可能性とリスク変わらないんだよなぁ…

**それでも動く名無し** · 2023/08/12(土) 22:12:15.13

なぜ他の言語ではこれが問題にならないのか

「Java」や「C#」などの言語は、設計上、インポート時にコードを自動的に実行しない。
開発者は、インポートからクラスを初期化するか、インポート内で静的メソッドを呼び出す必要がある。

これにより、悪意のあるコードがシステムを悪用するハードルが非常に大きいものとなる。

**それでも動く名無し** · 2023/08/12(土) 22:12:39.96

> これにより、悪意のあるコードがシステムを悪用するハードルが非常に大きいものとなる。

ここ最高に知恵が遅れてて草生える

**それでも動く名無し** · 2023/08/12(土) 22:13:02.90

なんかおかしいのこれ？

**それでも動く名無し** · 2023/08/12(土) 22:13:03.12

importって単にライブラリの外部読み取りだけじゃねえの？言語によって違うんだ
Cでさえヘッダなの情報渡すだけでしょ

**それでも動く名無し** · 2023/08/12(土) 22:13:03.75

セキュリティ云々はともかくpythonの糞な所であるのは確かやな

**それでも動く名無し** · 2023/08/12(土) 22:13:26.56

なーにがハードルが非常に大きいじゃ針小棒大に良い腐りやがって
ワイ別にPython好きじゃないけどゴミみたいな理屈でキレそうやわ

**それでも動く名無し** · 2023/08/12(土) 22:13:50.62

まぁPythonみたいな前時代のウンコ言語早く廃れたほうがいいわ

**それでも動く名無し** · 2023/08/12(土) 22:15:01.89

なんでPythonが憎いん？

**それでも動く名無し** · 2023/08/12(土) 22:15:11.83

まあ確かにimportするってことは何かしら利用したい意志あってのことやしな
どれも同じやろな

**それでも動く名無し** · 2023/08/12(土) 22:15:30.51

極論言えばC++とかでもいけそうじゃないか
ヘッダーに悪意のあるコードをコンストラクタに持つクラスインスタンスを置いちゃうとか

**それでも動く名無し** · 2023/08/12(土) 22:15:41.74

>>9
Pythonはimportでプログラム実行するから、

if __name__=="__main__":

という記述をつけて、importのときは動かないって明示しないといけない

**それでも動く名無し** · 2023/08/12(土) 22:16:08.62

>>13
分からん
Walker Aldridgeさん外人の記者っぽいけどこの記事以外情報無くて謎やわ

**それでも動く名無し** · 2023/08/12(土) 22:16:42.64

>>16
あー、そういやそんなおまじないあったな
サンガツ

**それでも動く名無し** · 2023/08/12(土) 22:17:32.02

この危険性言い出したら全部自力でやれやってことにならへん？

**それでも動く名無し** · 2023/08/12(土) 22:18:10.44

自動化とか機械学習以外でぜんぜ使わんわPython

**それでも動く名無し** · 2023/08/12(土) 22:19:00.19

>>19
Pythonでサードパーティアプリ使う時によく問題視されるのはタイポスクワッティングやな
まぁ別に他の言語でもあるんやけど
それが問題になった時に信頼可能な第三者によってレビュー済のパッケージを配布するシステムを作ったらどうかみたいな話がコミュニティで持ち上がったことはある

**それでも動く名無し** · 2023/08/12(土) 22:20:17.50

手打ちでライブラリ入れる時はじーっと凝視して確認してる