#prog #shell #article
The Bourne shell is not a programming language
Before you rise in righteous indignation, let me say that that doesn't mean that you can't write programs in the Bourne shell; you can write programs in anything that's Turing-complete if you try hard enough. It's just that you shouldn't.
<...>
Unfortunately I don't think there's a really good Unix programming language to replace the Bourne shell, which is one of the reasons that writing programs in the Bourne shell remains so tempting.
The Bourne shell is not a programming language
Before you rise in righteous indignation, let me say that that doesn't mean that you can't write programs in the Bourne shell; you can write programs in anything that's Turing-complete if you try hard enough. It's just that you shouldn't.
<...>
Unfortunately I don't think there's a really good Unix programming language to replace the Bourne shell, which is one of the reasons that writing programs in the Bourne shell remains so tempting.
🤔1
#prog #python #article
ABI compatibility in Python: How hard could it be?
Нативные расширения для Python могут распространяться в двух формах: в исходниках и в пресобранных бинарях.
В первом варианте сборка нативного кода происходит непосредственно на машине, которая использует расширение. Сильным преимуществом этого варианта является то, что расширение собирается под установленную версию Python, поэтому, если оно собирается, оно точно совместимо с этой версией. Очевидным недостатком является тот факт, что ошибки при сборке сложно диагностировать и исправлять, особенно для большинства пользователей Python, которые не обязательно разбираются в процессе сборки компилируемых языков (не говоря уже о том, что компиляция с оптимизациями может занять приличное время).
Для второго варианта — распространения в заранее собранных бинарях — есть стандартный формат, wheel. Недостатком этого подхода является то, что под каждую комбинацию OS, версии CPython и архитектуры нужно делать свой бинарь, что выливается в дополнительную нагрузку для разработчиков для тестирования под каждую из комбинаций. Вдобавок, если поддерживаемой версии wheel под тройку требований нет, пользователь в пролёте — ему остаётся только собирать самостоятельно. В частности, при релизе новой минорной версии CPython пользователям надо ждать, пока разработчики не соберут wheel под эту новую версию.
Для того, чтобы облегчить жизнь и пользователям, и разработчикам, разработчики CPython предоставили ручки, позволяющие выставлять разработчикам нативных расширений стабильное API со стабильным ABI. С технической точки зрения это выражается в установке макроса
У этого подхода, однако, есть гигантский недостаток: никакой инструмент цепочки упаковки пакета, его распространения и использования — включая сам CPython — не проверяет, что тег
В Trail of bits разработали инструмент, который как раз и проверяет, насколько расширение, заявленное, как поддерживающее abi3, действительно является таковым. Для исследования того, насколько этот инструмент полезен, авторы статьи проверили пакеты, скаченные с PyPI за последние 21 день (на момент написания статьи, т. е. 15 ноября 2022 года). По части результатов процитирую статью дословно:
Of the 357 valid packages, 54 (15 percent) contained wheels with ABI version violations. In other words: roughly one in six packages had wheels that claimed support for a particular Python version, but actually used the ABI of a newer Python version.
More severely: of those same 357 valid packages, 11 (3.1 percent) contained outright ABI violations. In other words: roughly one in thirty packages had wheels that claimed to be stable ABI compatible, but weren’t at all!
In total, 1139 (roughly 3 percent) Python extensions had version violations, and 90 (roughly 0.02 percent) had outright ABI violations. This suggests two things: that the same packages tend to have ABI violations across multiple wheels and extensions, and that multiple extensions within the same wheel tend to have ABI violations at the same time (which makes sense, since they should share the same build).
Советую прочитать статью, которая несколько более подробно рассказывает о проблеме, которую представленный инструмент может диагностировать, а также рассказывает о конкретных некорректных пакетах.
ABI compatibility in Python: How hard could it be?
Нативные расширения для Python могут распространяться в двух формах: в исходниках и в пресобранных бинарях.
В первом варианте сборка нативного кода происходит непосредственно на машине, которая использует расширение. Сильным преимуществом этого варианта является то, что расширение собирается под установленную версию Python, поэтому, если оно собирается, оно точно совместимо с этой версией. Очевидным недостатком является тот факт, что ошибки при сборке сложно диагностировать и исправлять, особенно для большинства пользователей Python, которые не обязательно разбираются в процессе сборки компилируемых языков (не говоря уже о том, что компиляция с оптимизациями может занять приличное время).
Для второго варианта — распространения в заранее собранных бинарях — есть стандартный формат, wheel. Недостатком этого подхода является то, что под каждую комбинацию OS, версии CPython и архитектуры нужно делать свой бинарь, что выливается в дополнительную нагрузку для разработчиков для тестирования под каждую из комбинаций. Вдобавок, если поддерживаемой версии wheel под тройку требований нет, пользователь в пролёте — ему остаётся только собирать самостоятельно. В частности, при релизе новой минорной версии CPython пользователям надо ждать, пока разработчики не соберут wheel под эту новую версию.
Для того, чтобы облегчить жизнь и пользователям, и разработчикам, разработчики CPython предоставили ручки, позволяющие выставлять разработчикам нативных расширений стабильное API со стабильным ABI. С технической точки зрения это выражается в установке макроса
Py_LIMITED_API в значение конкретной версии API перед включением заголовочных файлов, предоставляющих интерфейс к CPython. Это стабильное ABI называется abi3, и пакет с нативным расширением может иметь тег, говорящий, что код собран относительно этого ABI конкретной версии.У этого подхода, однако, есть гигантский недостаток: никакой инструмент цепочки упаковки пакета, его распространения и использования — включая сам CPython — не проверяет, что тег
abi3 и конкретная версия выставлены корректно. Иными словами, ничто не останавливает пользователей от того, чтобы подгрузить к интерпретатору расширение с некорректным ABI. Последствия этого также плачевны, как и при любом несовпадении ABI, и могут варьироваться от (при удаче) отсутствия каких-либо проблем до крашей или, что гораздо хуже, порчи памяти.В Trail of bits разработали инструмент, который как раз и проверяет, насколько расширение, заявленное, как поддерживающее abi3, действительно является таковым. Для исследования того, насколько этот инструмент полезен, авторы статьи проверили пакеты, скаченные с PyPI за последние 21 день (на момент написания статьи, т. е. 15 ноября 2022 года). По части результатов процитирую статью дословно:
Of the 357 valid packages, 54 (15 percent) contained wheels with ABI version violations. In other words: roughly one in six packages had wheels that claimed support for a particular Python version, but actually used the ABI of a newer Python version.
More severely: of those same 357 valid packages, 11 (3.1 percent) contained outright ABI violations. In other words: roughly one in thirty packages had wheels that claimed to be stable ABI compatible, but weren’t at all!
In total, 1139 (roughly 3 percent) Python extensions had version violations, and 90 (roughly 0.02 percent) had outright ABI violations. This suggests two things: that the same packages tend to have ABI violations across multiple wheels and extensions, and that multiple extensions within the same wheel tend to have ABI violations at the same time (which makes sense, since they should share the same build).
Советую прочитать статью, которая несколько более подробно рассказывает о проблеме, которую представленный инструмент может диагностировать, а также рассказывает о конкретных некорректных пакетах.
The Trail of Bits Blog
ABI compatibility in Python: How hard could it be?
TL;DR: Trail of Bits has developed abi3audit, a new Python tool for checking Python packages for CPython application binary interface (ABI) violations. We’ve used it to discover hundreds of inconsistently and incorrectly tagged package distributions, each…
👍6
Блог*
#prog #python #article ABI compatibility in Python: How hard could it be? Нативные расширения для Python могут распространяться в двух формах: в исходниках и в пресобранных бинарях. В первом варианте сборка нативного кода происходит непосредственно на машине…
В статье мимолётом упоминается, что им не удалось найти кошкодевочек, в отличие от moyix.
#prog (somewhat #python) #menacingopensource #article
Someone’s Been Messing With My Subnormals!
TL;DR: After noticing an annoying warning, I went on an absurd yak shave, and discovered that because of a tiny handful of Python packages built with an appealing-sounding but dangerous compiler option, more than 2,500 Python packages—some with more than a million downloads per month—could end up causing any program that uses them to compute incorrect numerical results.
Или чуть более подробно: в силу каких-то сомнительных решений в GCC (равно как и в clang, который старательно скопировал его поведение) активация флага
#prog (somewhat #python) #menacingopensource #article
Someone’s Been Messing With My Subnormals!
TL;DR: After noticing an annoying warning, I went on an absurd yak shave, and discovered that because of a tiny handful of Python packages built with an appealing-sounding but dangerous compiler option, more than 2,500 Python packages—some with more than a million downloads per month—could end up causing any program that uses them to compute incorrect numerical results.
Или чуть более подробно: в силу каких-то сомнительных решений в GCC (равно как и в clang, который старательно скопировал его поведение) активация флага
-Ofast подразумевает активацию флага -ffast-math, который, в свою очередь, при компиляции разделяемой библиотеки генерировал для неё конструктор, который, помимо всего прочего, выставлял в процессоре флаг, регулирующий поведение операций над плавающей точкой — более конкретно, FTZ/DAZ, при активации которого операции, которые выдали бы субнормальные числа с плавающей точкой, вместо этого выдают ноль. Несколько нативных расширений были скомпилированы с флагом -Ofast, которые в результате стали расширениями, банальный импорт которых менял поведение арифметики чисел с плавающей точкой для всего процесса, включая код из NumPy.X (formerly Twitter)
Brendan Dolan-Gavitt (@moyix) on X
Among many, many other files, my Python packaging misadventures seem to have made me the proud owner of these two pictures, deposited in ~/.local/share/koneko/pics. Thanks, pip!
😱5
Блог*
#prog #cpp #article Concept archetypes Concepts in the form added in C++20 used to be called lite. This is because they do not provide one quite important functionality: having the compiler check if the author of a constrained template is only using operations…
#prog #cpp
libawful — a collection of awful archetypes for testing generic code.
When writing a generic library, one often needs to test generic components with types having infrequent characteristics. This is to make sure that a generic component is not assuming more about its inputs than it should. libawful is a collection of types with unusual properties that can be used to check for corner cases when implementing generic components. The project contains a single header,
libawful — a collection of awful archetypes for testing generic code.
When writing a generic library, one often needs to test generic components with types having infrequent characteristics. This is to make sure that a generic component is not assuming more about its inputs than it should. libawful is a collection of types with unusual properties that can be used to check for corner cases when implementing generic components. The project contains a single header,
<awful.hpp>, which defines all the archetypes.GitHub
GitHub - ldionne/libawful: A collection of awful archetypes to ease the testing of generic C++ libraries
A collection of awful archetypes to ease the testing of generic C++ libraries - ldionne/libawful
❤6🤔1
#ml #prog #suckassstory
(BTW одной из ошибок было то, что сгенерированный код для генерации графика перепутал оси X и Y)
Делаем 10-минутную задачу за 2 часа с помощью ChatGPT
(thanks @tech_b0lt_Genona)
(BTW одной из ошибок было то, что сгенерированный код для генерации графика перепутал оси X и Y)
Делаем 10-минутную задачу за 2 часа с помощью ChatGPT
(thanks @tech_b0lt_Genona)
😁4
#prog #c #itsec
В glibc выявили уязвимость, которая позволяет локально повысить права до root. Корень проблемы — очередной buffer overflow.
Что иронично, код, который внёс уязвимость, был нацелен на фикс другой проблемы.
В glibc выявили уязвимость, которая позволяет локально повысить права до root. Корень проблемы — очередной buffer overflow.
Что иронично, код, который внёс уязвимость, был нацелен на фикс другой проблемы.
www.opennet.ru
Уязвимость в glibc, позволяющая получить root-доступ в системе
Компания Qualys выявила опасную уязвимость (CVE-2023-6246) в стандартной Си-библиотеке Glibc, позволяющую через манипуляции с запуском SUID-приложений добиться выполнения своего кода с повышенными привилегиями. Исследователи смогли разработать рабочий эксплоит…
😁5😱1
Forwarded from Игорь, начинайте работу
Полезное: твиттерская выложила тред, как заводить друзей дедам за 30.
Внутри — советы, как правильно проявлять инициативу, знакомиться с людьми без сталкеринга и напора, снизить ожидания от других и не закапывать самого себя. Подойдет даже интровертам.
Запоминаем и расширяем свой круг общения.
Внутри — советы, как правильно проявлять инициативу, знакомиться с людьми без сталкеринга и напора, снизить ожидания от других и не закапывать самого себя. Подойдет даже интровертам.
Запоминаем и расширяем свой круг общения.
👍14❤3🤮2
Я — за функциональное программирование.
Хорошо же ведь, когда твои программы функционируют, не так ли?
Хорошо же ведь, когда твои программы функционируют, не так ли?
👍22💯6❤2🔥1🤣1
#gamedev #video
Выбор в играх может быть куда сложнее и интереснее, чем выбор пункта из явного списка.
youtu.be/6HZuSzlN2eI
Выбор в играх может быть куда сложнее и интереснее, чем выбор пункта из явного списка.
youtu.be/6HZuSzlN2eI
YouTube
The Power of Invisible Choices
🔴 Get bonus content by supporting Game Maker’s Toolkit - https://gamemakerstoolkit.com/support/ 🔴
Action games typically borrow from RPGs and adventure games when it comes to making choices. But there are significant advantages when using the normal verbs…
Action games typically borrow from RPGs and adventure games when it comes to making choices. But there are significant advantages when using the normal verbs…
Блог*
#gamedev #video Выбор в играх может быть куда сложнее и интереснее, чем выбор пункта из явного списка. youtu.be/6HZuSzlN2eI
#game #video
В эссе о невидимых выборах автор упоминает Spec Ops: The Line. К неприятной новости — удалении игры из всех цифровых магазинов из-за истёкшей лицензии — Game maker's toolkit рассказывает подробнее об игре и о том, почему она, хоть и не собрала больших денег, стала заметным событием на момент своего выхода и остаётся релевантным и сейчас.
youtu.be/tYk0BS84ItY
В эссе о невидимых выборах автор упоминает Spec Ops: The Line. К неприятной новости — удалении игры из всех цифровых магазинов из-за истёкшей лицензии — Game maker's toolkit рассказывает подробнее об игре и о том, почему она, хоть и не собрала больших денег, стала заметным событием на момент своего выхода и остаётся релевантным и сейчас.
youtu.be/tYk0BS84ItY
YouTube
Why Spec Ops: The Line Mattered
🔴 Get my premium monthly newsletter - https://gamemakerstoolkit.com/digest/ 🔴
Spec Ops: The Line has been removed from all digital storefronts, due to licensing issues. Why was this game so important? Let’s understand the context surrounding its release.…
Spec Ops: The Line has been removed from all digital storefronts, due to licensing issues. Why was this game so important? Let’s understand the context surrounding its release.…
Блог*
Допустим, я организую в Ереване встречу с подписчиками
Снова в воскресенье в Vol. 1, с 18:00
Vol. 1 · 67 Yeznik Koghbatsi St, Yerevan 0002, Armenia
★★★★★ · Coffee shop
😢3🤔2