Импортозамещение Trello, Jira и Confluence — подборка для разработчиков
На Tproger представили подборку российских альтернатив Trello, Jira и Confluence с акцентом на коллективное хранения документов. В статье вы найдете инструменты, которые позволяют управлять процессами, задачами и документацией в одном пространстве, без разделения между трекером и хранилищем знаний. Инструменты соответствуют ФЗ-152 (о персональных данных) — все решения размещаются на отечественных серверах или поддерживают on-premise. Среди разбираемых продуктов есть как простые таск-системы, так и комплексные платформы с удобным редактором, версионированием и автоматической миграцией контента из зарубежных сервисов.
@prog_tools
На Tproger представили подборку российских альтернатив Trello, Jira и Confluence с акцентом на коллективное хранения документов. В статье вы найдете инструменты, которые позволяют управлять процессами, задачами и документацией в одном пространстве, без разделения между трекером и хранилищем знаний. Инструменты соответствуют ФЗ-152 (о персональных данных) — все решения размещаются на отечественных серверах или поддерживают on-premise. Среди разбираемых продуктов есть как простые таск-системы, так и комплексные платформы с удобным редактором, версионированием и автоматической миграцией контента из зарубежных сервисов.
@prog_tools
❤1🤣1💊1
Для тех, кто чувствует, что может больше в IT
Когда начинаешь щёлкать старые рабочие задачи как орешки, приходит время прокачиваться до мидла или сеньора.
Усилить экспертизу поможет новое направление курсов Яндекс Практикум PRO. Оно создано специально для практикующих специалистов в IT-профессиях: программировании, анализе данных, работе с нейронками, продакт- и проджект- менеджменте.
Здесь обучают на реальных кейсах и помогают углубить знания в выбранной сфере. И эти навыки точно понадобятся каждому, кто задумывается о переходе с позиции джуна.
Вся информация о курсах собрана здесь.
Это #партнёрский пост
Когда начинаешь щёлкать старые рабочие задачи как орешки, приходит время прокачиваться до мидла или сеньора.
Усилить экспертизу поможет новое направление курсов Яндекс Практикум PRO. Оно создано специально для практикующих специалистов в IT-профессиях: программировании, анализе данных, работе с нейронками, продакт- и проджект- менеджменте.
Здесь обучают на реальных кейсах и помогают углубить знания в выбранной сфере. И эти навыки точно понадобятся каждому, кто задумывается о переходе с позиции джуна.
Вся информация о курсах собрана здесь.
Это #партнёрский пост
Python Software Foundation отвергла грант США на $1,5 млн из-за запрета на инициативы по инклюзивности
PSF неожиданно отказалась от гранта на 1,5 млн долларов, предложенного Национальным научным фондом США (NSF), из-за условий, запрещающих организациям-получателям продвигать программы, направленные на разнообразие, равенство и инклюзивность. Несмотря на финансовую поддержку в рамках проекта по безопасности opensource-экосистем, PSF сочла, что такие ограничения противоречат её ценностям и миссии. Совет директоров единодушно отверг предложение, указав, что запрет на инициативы DEI (diversity, equity, inclusion) может повредить всей её деятельности. Решение принято в условиях сохраняющейся потребности фонда в ресурсах и растущего внимания к безопасности экосистемы Python.
#факт
@zen_of_python
PSF неожиданно отказалась от гранта на 1,5 млн долларов, предложенного Национальным научным фондом США (NSF), из-за условий, запрещающих организациям-получателям продвигать программы, направленные на разнообразие, равенство и инклюзивность. Несмотря на финансовую поддержку в рамках проекта по безопасности opensource-экосистем, PSF сочла, что такие ограничения противоречат её ценностям и миссии. Совет директоров единодушно отверг предложение, указав, что запрет на инициативы DEI (diversity, equity, inclusion) может повредить всей её деятельности. Решение принято в условиях сохраняющейся потребности фонда в ресурсах и растущего внимания к безопасности экосистемы Python.
#факт
@zen_of_python
🌚10❤6😁5👎2
air | Веб-фреймворк на базе FastAPI, Starlette и Pydantic
Новый минималистичный веб-тул от авторов книги 'Two Scoops of Django'. Крутая особенность — Air Tags, теги-компоненты по аналогии с React. С Air проще писатьвеб-приложения с подкапотным API. Хорошая попытка исправить то, что не нравится в Django.
#инструмент
@zen_of_python
Новый минималистичный веб-тул от авторов книги 'Two Scoops of Django'. Крутая особенность — Air Tags, теги-компоненты по аналогии с React. С Air проще писатьвеб-приложения с подкапотным API. Хорошая попытка исправить то, что не нравится в Django.
#инструмент
@zen_of_python
🤔2
Юн Цуй «Рецепты Python. Коллекция лучших техник программирования»
Если вам уже попадалась постепенно усложняющаяся книга по языку, которую труднее читать к концу, то в этот раз будет по-другому. В книге Юн Цуй собрал 63 самых полезных, по его мнению, навыков Python-разработчика, К примеру, в одной из глав задача ««Как найти элементы в последовательности?» получает сначала базовое решение, а потом дополняется еще двумя.
#обучение
@zen_of_python
Если вам уже попадалась постепенно усложняющаяся книга по языку, которую труднее читать к концу, то в этот раз будет по-другому. В книге Юн Цуй собрал 63 самых полезных, по его мнению, навыков Python-разработчика, К примеру, в одной из глав задача ««Как найти элементы в последовательности?» получает сначала базовое решение, а потом дополняется еще двумя.
#обучение
@zen_of_python
🔥2❤1
Python for Everyone | Короткие видеотуториалы
Англоязычный YouTube-канал, прекрасно «грокающий» различные концепции языка, будь то декораторы, миксины или полиморфизм. Каждый ролик — кустарный мультфильм с демонстрацией предельно понятного кода.
#обучение
@zen_of_python
Англоязычный YouTube-канал, прекрасно «грокающий» различные концепции языка, будь то декораторы, миксины или полиморфизм. Каждый ролик — кустарный мультфильм с демонстрацией предельно понятного кода.
#обучение
@zen_of_python
✍1
Вопросы подписчиков
Zen of Python поддерживает новоприбывших (и не только) в особой рубрике. Как это работает:
— Спрашивайте что угодно (в комментариях под этим постом), связанное с Python. Здесь нет плохих вопросов!
— Сообщество вас поддержит. Самые интересные вопросы мы разберём в отдельном посте.
#обсуждение
@zen_of_python
Zen of Python поддерживает новоприбывших (и не только) в особой рубрике. Как это работает:
— Спрашивайте что угодно (в комментариях под этим постом), связанное с Python. Здесь нет плохих вопросов!
— Сообщество вас поддержит. Самые интересные вопросы мы разберём в отдельном посте.
#обсуждение
@zen_of_python
Пользователь Reddit поделился Python-библиотекой для быстрых запросов к файловой системе и выполнения действий над найденными файлами.
Основная идея: вместо кучи строк кода,
Т.е. найти логи старше 7 дней и больше 10 МБ.
Выглядит удобно, но как-то не очень pythonic, вам не кажется? Как будто если делаешь что-то SQL-like, то лучше напрямую SQL и взять, а не изобретать мини-язык внутри Python. И это как раз самое интересное — в комментах начали предлагать как можно сделать лучше.
Например, вот так:
Добавить обёртку, которая будет вычислять необходимые свойства по запросу с использованием
Или использовать модуль
А может вообще что-то lisp-подобное:
Или добавить callable-объекты, которые можно передавать в фильтры, получится куда более нативно:
Лично мне, админу канала @zen_of_python, последний вариант кажется самым удобным. Не самый привычный синтаксис, но читается однозначно. И возможность задавать время и размер файлов в привычных единицах — тоже плюс.
Если для ускорения добавить конкурентность и кэширование, как сделал автор исходной библиотеки, то получится прекрасный инструмент.
А какой стиль вам больше понравился? Как бы вы реализовали?
Основная идея: вместо кучи строк кода,
os.stat и datetime писать так:query = Query(
where_expr=(AgeDays() > 7) & (Size() > "10 mb") & Suffix(".log"),
from_paths="C:/logs",
threaded=True
)
result_set = query.select()
Т.е. найти логи старше 7 дней и больше 10 МБ.
Выглядит удобно, но как-то не очень pythonic, вам не кажется? Как будто если делаешь что-то SQL-like, то лучше напрямую SQL и взять, а не изобретать мини-язык внутри Python. И это как раз самое интересное — в комментах начали предлагать как можно сделать лучше.
Например, вот так:
query(lambda p: p.age_days < 7 and p.size > 10_000_000 and p.suffix == ".log")
Добавить обёртку, которая будет вычислять необходимые свойства по запросу с использованием
cached_property и получим по сути то же самое, но проще.Или использовать модуль
ast и такой синтаксис:query("age_days < 7 and size > 10_000_000 and suffix == '.log'")А может вообще что-то lisp-подобное:
query(("and", ("age_days", ">", 7),
("size", ">", 10_000_000),
("suffix", "==", ".log")))Или добавить callable-объекты, которые можно передавать в фильтры, получится куда более нативно:
dir = pathlib.Path('/var')
for file in filter(OlderThan(days=7) & LargerThan(MB=10),dir.rglob("*")):
print(file.as_posix())Лично мне, админу канала @zen_of_python, последний вариант кажется самым удобным. Не самый привычный синтаксис, но читается однозначно. И возможность задавать время и размер файлов в привычных единицах — тоже плюс.
Если для ускорения добавить конкурентность и кэширование, как сделал автор исходной библиотеки, то получится прекрасный инструмент.
А какой стиль вам больше понравился? Как бы вы реализовали?
🔥6
Какую версию Python взять, чтобы всё работало без лишних проблем?
С одной стороны, хочется более свежую: в 3.14 завезли free-threading и вообще много чего улучшили по производительности. Но не все библиотеки ещё подтянулись. Например, Numba ещё 3.14 не поддерживает.
Хороший совет — вооружитесь uv и последовательно пробуйте все версии начиная с самой свежей. Первая, которая заработает, и будет вашей. По сути самая свежая из тех, которую поддерживают все зависимости у вас в проекте.
Также полезно посмотреть на релизный цикл (на картинке к посту). Очевидно не стоит брать версии, которые уже не поддерживаются. Спускаться ниже 3.10 будет не самым безопасным вариантом. Ровно как и пробовать то, что ещё не выпущено официально — на 3.15 заглядываться рановато.
По состоянию на ноябрь 2025 версия 3.13 выглядит хорошей золотой серединой. Почти все уже успели добавить поддержку, а от ведущей 3.14 отставание всего на один шаг.
А какие версии вы используете у себя в проектах?
#обсуждение
@zen_of_python
С одной стороны, хочется более свежую: в 3.14 завезли free-threading и вообще много чего улучшили по производительности. Но не все библиотеки ещё подтянулись. Например, Numba ещё 3.14 не поддерживает.
Хороший совет — вооружитесь uv и последовательно пробуйте все версии начиная с самой свежей. Первая, которая заработает, и будет вашей. По сути самая свежая из тех, которую поддерживают все зависимости у вас в проекте.
Также полезно посмотреть на релизный цикл (на картинке к посту). Очевидно не стоит брать версии, которые уже не поддерживаются. Спускаться ниже 3.10 будет не самым безопасным вариантом. Ровно как и пробовать то, что ещё не выпущено официально — на 3.15 заглядываться рановато.
По состоянию на ноябрь 2025 версия 3.13 выглядит хорошей золотой серединой. Почти все уже успели добавить поддержку, а от ведущей 3.14 отставание всего на один шаг.
А какие версии вы используете у себя в проектах?
#обсуждение
@zen_of_python
❤4👻3
Свежий пет-проект от (видимо) скучающего на досуге питониста — терминальный Git‑клиент на чистом Python, вдохновлённый LazyGit; ставится через pip и работает без внешнего git CLI. Попробовать:
Что даёт: навигация по коммитам, просмотр diff, панель статусов файлов в стиле VSCode, ветко‑зависимая история и индикаторы «пушнуто/локально» без вызова системного git.
Зачем: когда в окружении нельзя ставить ничего кроме Python‑пакетов, нужен «чисто Python» инструмент для Git с удобной навигацией и минимумом интеграций.
Автор просит фидбек по недостающим функциям и удобству UI, так что можете отписаться в репозитории. Вам плюсик в карму, автор порадуется.
Проект, послуживший вдохновением: https://github.com/jesseduffield/lazygit
Ну и, конечно, кто-то написал аналог на Rust, чтобы было ультра-быстро, а скорее просто потому что может: https://github.com/gitui-org/gitui
Как вам такие поделки? Как минимум романтично же, консольные клиенты как будто пахнут старыми добрыми временами, вы не находите?
@zen_of_python
pip install pygitzen.Что даёт: навигация по коммитам, просмотр diff, панель статусов файлов в стиле VSCode, ветко‑зависимая история и индикаторы «пушнуто/локально» без вызова системного git.
Зачем: когда в окружении нельзя ставить ничего кроме Python‑пакетов, нужен «чисто Python» инструмент для Git с удобной навигацией и минимумом интеграций.
Автор просит фидбек по недостающим функциям и удобству UI, так что можете отписаться в репозитории. Вам плюсик в карму, автор порадуется.
Проект, послуживший вдохновением: https://github.com/jesseduffield/lazygit
Ну и, конечно, кто-то написал аналог на Rust, чтобы было ультра-быстро, а скорее просто потому что может: https://github.com/gitui-org/gitui
Как вам такие поделки? Как минимум романтично же, консольные клиенты как будто пахнут старыми добрыми временами, вы не находите?
@zen_of_python
🔥11❤2
Media is too big
VIEW IN TELEGRAM
Как провести проверку типов в 1,8 миллионах строчек Python-кода за секунду? Нил Митчел рассказывает как новый тайп-чекер Pyrefly достигает такой скорости (дубляж на русский).
Аннотации типов появились ещё в 2014 году и с тех пор стали значительно сложнее: дженерики, подтипы, flow types, field refinement и другие не всем даже известные слова. Pyrefly моделирует и проверяет эту сложную систему и делает это быстро.
В принципе тем же самым занимается uv ty, но у ребят из Astral немного другой подход: дать пользу программисту аккуратно, не ошибиться случайно в коде, который хоть и без типов, но теоретически может быть валидным. Можно сказать, что Pyrefly более агрессивный и стабильный, хотя оба проекта ещё в альфе.
Попробовать можно прям на сайте проекта: pyrefly.org/sandbox
Что ж, наконец-то кто-то сможет угнаться за скоростью написания вайб-кода и проверить хотя бы типы.
@zen_of_python
Аннотации типов появились ещё в 2014 году и с тех пор стали значительно сложнее: дженерики, подтипы, flow types, field refinement и другие не всем даже известные слова. Pyrefly моделирует и проверяет эту сложную систему и делает это быстро.
В принципе тем же самым занимается uv ty, но у ребят из Astral немного другой подход: дать пользу программисту аккуратно, не ошибиться случайно в коде, который хоть и без типов, но теоретически может быть валидным. Можно сказать, что Pyrefly более агрессивный и стабильный, хотя оба проекта ещё в альфе.
Попробовать можно прям на сайте проекта: pyrefly.org/sandbox
Что ж, наконец-то кто-то сможет угнаться за скоростью написания вайб-кода и проверить хотя бы типы.
@zen_of_python
❤2👍1
Совет управляющих Python одобрил два PEP — 798 про распаковку в comprehensions и 810 про явные ленивые импорты, оба целятся в Python 3.15.
PEP 798 добавляет возможность применять распаковку прямо в comprehensions и генераторах: можно использовать символы звездочки для объединения и слияния, например
PEP 810 вводит явный синтаксис ленивых импортов:
P.S. Кто такие эти ваши «совет управляющих»? После ухода Гвидо с роли BDFL в 2018 сообщество приняло модель управления PEP 8016 — стратегию языка и финальные решения по PEP принимает избираемый из core-разработчиков Совет из пяти человек. Этот Совет переизбирается после каждого мажорного релиза голосованием среди core-dev’ов и выступает финальным арбитром по спорным вопросам развития языка.
PEP 798 добавляет возможность применять распаковку прямо в comprehensions и генераторах: можно использовать символы звездочки для объединения и слияния, например
[*it for it in its] или {**d for d in dicts}. Приняли с оговоркой: и синхронные, и асинхронные генераторные выражения должны использовать явные циклы, без yield from, чтобы сохранить простой и единый стиль, ближе к поведению itertools.chain.from_iterable.PEP 810 вводит явный синтаксис ленивых импортов:
lazy import json и lazy from json import dumps, когда модуль реально загрузится только при первом обращении к имени — полезно для ускорения старта и экономии памяти. Совет уточнил детали: .pth не поддерживают ленивые импорты, появится sys.get_lazy_imports(), и будет зафиксирован приоритет между переменной окружения, флагом -X и вызовами sys.set_lazy_imports(), при этом стилистические правила сортировки оставят линтерам и форматтерам.P.S. Кто такие эти ваши «совет управляющих»? После ухода Гвидо с роли BDFL в 2018 сообщество приняло модель управления PEP 8016 — стратегию языка и финальные решения по PEP принимает избираемый из core-разработчиков Совет из пяти человек. Этот Совет переизбирается после каждого мажорного релиза голосованием среди core-dev’ов и выступает финальным арбитром по спорным вопросам развития языка.
🔥8❤4
В Python 3.14 появилось фишка, которая реально меняет дебаг live-процессов: безопасный внешний интерфейс отладки по PEP 768, который позволяет подключаться к уже запущенному питоновскому процессу по PID — без перезапуска и без ломания рантайма на ровном месте. В практическом виде это значит, что теперь можно сделать обычный attach встроенным pdb:
Главная фишка — все происходит в «безопасных точках» интерпретатора, без хака с инъекцией машинного кода через ptrace/LLDB и без риска словить краш, гонки за GIL или порчу памяти при сборке мусора. Интерфейс кооперируется с eval loop CPython и просто просит интерпретатор выполнить небольшой скрипт, когда это безопасно; под капотом для этого добавили пару полей в PyThreadState и используют существующий eval_breaker, поэтому накладных расходов в обычном режиме нет.
Для инструментов завезли
Если хотите детали и хороший разбор, у surister вышел пост после выступления Пабло Галиндо (соавтора PEP): там с примерами, почему старые подходы были хрупкими, и как новый протокол делает attach нормальным инструментом, а не рулеткой с падениями.
Ещё раз супер-кратко: теперь attach к живому Python — это стандартная возможность CPython 3.14, с нулевой ценой в рантайме и без трюков уровня «инжектим код в произвольной точке», что сильно упрощает жизнь при отладке долгоживущих сервисов и edge/IoT кейсов.
А вы знали, что так можно?
python -m pdb -p <PID>, залезть внутрь, посмотреть состояние, выполнить код — как будто запускал под отладчиком с самого начала.Главная фишка — все происходит в «безопасных точках» интерпретатора, без хака с инъекцией машинного кода через ptrace/LLDB и без риска словить краш, гонки за GIL или порчу памяти при сборке мусора. Интерфейс кооперируется с eval loop CPython и просто просит интерпретатор выполнить небольшой скрипт, когда это безопасно; под капотом для этого добавили пару полей в PyThreadState и используют существующий eval_breaker, поэтому накладных расходов в обычном режиме нет.
Для инструментов завезли
sys.remote_exec(pid, path_to_script): можно подложить .py-файл и он выполнится в целевом процессе при первой возможности, что удобно для быстрых диагностик: распечатать стек, проверить состояние, собрать метрики, даже если это прод и процесс нельзя трогать. Момент важный для продакшена и безопасности: механизм можно отключить через переменные/флаги (PYTHON_DISABLE_REMOTE_DEBUG, -X disable-remote-debug, сборка без поддержки), а любые вызовы проходят через audit hooks, так что всё прозрачно и контролируемо для админов.Если хотите детали и хороший разбор, у surister вышел пост после выступления Пабло Галиндо (соавтора PEP): там с примерами, почему старые подходы были хрупкими, и как новый протокол делает attach нормальным инструментом, а не рулеткой с падениями.
Ещё раз супер-кратко: теперь attach к живому Python — это стандартная возможность CPython 3.14, с нулевой ценой в рантайме и без трюков уровня «инжектим код в произвольной точке», что сильно упрощает жизнь при отладке долгоживущих сервисов и edge/IoT кейсов.
А вы знали, что так можно?
This media is not supported in your browser
VIEW IN TELEGRAM
🔥10❤1
Вот хороший учебный проект по agentic RAG, который можно поднять локально без API‑ключей и облака: только Python, LangGraph и ваш комп. Автор собрал в одном месте весь пайплайн: от подготовки данных до рабочего агента, чтобы новичкам не рыскать по разрозненным гайдам и видео. В отличие от типичных туториалов «кусочками», здесь end‑to‑end реализация с минимальными зависимостями и упором на понятность и практичность.
Что внутри по механике: конвертация PDF → Markdown, иерархическое разбиение на чанки, гибридные эмбеддинги, хранение в Qdrant, параллельная обработка мульти‑запросов, переформулировка вопросов и уточнения у человека при неоднозначностях. Контекст сжимается через саммари, а поверх всего — агент на LangGraph, который сам решает, когда переписать запрос, когда добрать родительские чанки, и когда генерировать ответ; есть простой чат‑интерфейс на Gradio.
Фишка именно в «агентности»: это не линейный проект, а петля с проверками, где агент оценивает достаточность контекста, при необходимости расширяет поиск (например, поднимая родительский уровень чанков) и только потом отвечает. Такой подход лучше тянет сложные вопросы и снижает галлюцинации, потому что решение не зашито жёстко в пайплайн — агент сам выбирает следующий шаг.
Кому зайдёт: если хочется руками понять, как склеиваются рассуждение, ретрив, переписывание запросов и память в реальном агенте — это ровно тот кейс. Репозиторий свежий и минималистичный; можно быстро форкнуть и адаптировать под свои документы.
Что внутри по механике: конвертация PDF → Markdown, иерархическое разбиение на чанки, гибридные эмбеддинги, хранение в Qdrant, параллельная обработка мульти‑запросов, переформулировка вопросов и уточнения у человека при неоднозначностях. Контекст сжимается через саммари, а поверх всего — агент на LangGraph, который сам решает, когда переписать запрос, когда добрать родительские чанки, и когда генерировать ответ; есть простой чат‑интерфейс на Gradio.
Фишка именно в «агентности»: это не линейный проект, а петля с проверками, где агент оценивает достаточность контекста, при необходимости расширяет поиск (например, поднимая родительский уровень чанков) и только потом отвечает. Такой подход лучше тянет сложные вопросы и снижает галлюцинации, потому что решение не зашито жёстко в пайплайн — агент сам выбирает следующий шаг.
Кому зайдёт: если хочется руками понять, как склеиваются рассуждение, ретрив, переписывание запросов и память в реальном агенте — это ровно тот кейс. Репозиторий свежий и минималистичный; можно быстро форкнуть и адаптировать под свои документы.
This media is not supported in your browser
VIEW IN TELEGRAM
🔥5❤1
Introduction_to_Python_Programming_-_WEB.pdf
11 MB
OpenStax выложили кучу бесплатных учебников, и среди них есть «Introduction to Python Programming» — свежий вводный курс по Python для начинающих и тех, кто хочет подтянуть базу системно. Помимо него у них есть «Principles of Data Science» и ещё много книг по математике и программированию.
Книга интерактивная: в веб-версии есть встроенный OpenStax Python Code Runner, короткие видео-анимации, вопросы на понимание и практикумы прямо по ходу текста. Каждая секция компактная и по делу: цели обучения, 1–3 подпункта объяснения и 1–2 практических задания, чтобы закрепить без отрыва от браузера.
По охвату она идёт от основ ввода-вывода, типов, выражений, условий и циклов к функциям, модулям, строкам/спискам/словарам, ООП и рекурсии, плюс файлы и исключения. В конце есть вводная по data science с NumPy, pandas, EDA и визуализацией; издано в 2024 и доступно под лицензией CC BY 4.0.
И специально для всех, кто не понимает зачем в 2025 читать книги:даже если вы уже что-то программируете на Python: у учебника и курса есть плюс перед интуитивным гуглением — он закрывает то, что вы не знаете, что не знаете. Практика важна, но структурированная программа помогает не наработать кривые паттерны и быстрее выйти на результат.
PDF-версия прикреплена к этому посту.
@zen_of_python
Книга интерактивная: в веб-версии есть встроенный OpenStax Python Code Runner, короткие видео-анимации, вопросы на понимание и практикумы прямо по ходу текста. Каждая секция компактная и по делу: цели обучения, 1–3 подпункта объяснения и 1–2 практических задания, чтобы закрепить без отрыва от браузера.
По охвату она идёт от основ ввода-вывода, типов, выражений, условий и циклов к функциям, модулям, строкам/спискам/словарам, ООП и рекурсии, плюс файлы и исключения. В конце есть вводная по data science с NumPy, pandas, EDA и визуализацией; издано в 2024 и доступно под лицензией CC BY 4.0.
И специально для всех, кто не понимает зачем в 2025 читать книги:
PDF-версия прикреплена к этому посту.
@zen_of_python
👍4❤3✍1
Цепочка поставок в Python — это путь ваших зависимостей из публичного реестра до проекта. То, что вы ставите через pip. Если по дороге попадаются уязвимости или подмена артефактов, а сборка автоматизирована, проблемы могут внезапно прилететь прямо в прод.
Есть такая компания Chainguard — всячески топят за то, что открытые источники это опасно и их хорошо бы сделать безопасными. Что они делают: пересобирает популярные пакеты PyPI в своей контролируемой среде и публикует их как более безопасные артефакты. Есть и отдельный индекс с бэкпорт‑исправлениями High/Critical CVE для старых версий, чтобы не переходить на мажорные апгрейды только ради патча безопасности.
К сборкам прикладываются проверяемые метаданные: SBOM (понятный список компонентов пакета) и attestations/provenance (подписанное происхождение и способ сборки). Эти данные читают инструменты экосистемы, поэтому можно автоматически проверять, чем и где собран артефакт.
Подключение обычно делают через репозиторий‑менеджер вроде Artifactory, Nexus или Cloudsmith: ставите Chainguard приоритетным источником, а PyPI оставляете как резерв. Так вы получаете «чистые» сборки там, где они есть, и не ломаете процесс там, где нужного пакета пока нет.
Подробнее в официальной документации.
Аналогичный проект есть у Аnaconda. И тоже платный.
В целом это логично, если ты не доверяешь толпе авторов, то ответственность на себя берёт кто-то другой, выполняет работу и эта работа стоит денег. Но хотелось бы, конечно, что-то более доступное.
А как вы решаете вопросы безопасности? Вас пугает толпа зависимостей проекта, за которой реально не так то просто уследить?
#поделитесь_своим_опытом
на @zen_of_python
Есть такая компания Chainguard — всячески топят за то, что открытые источники это опасно и их хорошо бы сделать безопасными. Что они делают: пересобирает популярные пакеты PyPI в своей контролируемой среде и публикует их как более безопасные артефакты. Есть и отдельный индекс с бэкпорт‑исправлениями High/Critical CVE для старых версий, чтобы не переходить на мажорные апгрейды только ради патча безопасности.
К сборкам прикладываются проверяемые метаданные: SBOM (понятный список компонентов пакета) и attestations/provenance (подписанное происхождение и способ сборки). Эти данные читают инструменты экосистемы, поэтому можно автоматически проверять, чем и где собран артефакт.
Подключение обычно делают через репозиторий‑менеджер вроде Artifactory, Nexus или Cloudsmith: ставите Chainguard приоритетным источником, а PyPI оставляете как резерв. Так вы получаете «чистые» сборки там, где они есть, и не ломаете процесс там, где нужного пакета пока нет.
Подробнее в официальной документации.
Аналогичный проект есть у Аnaconda. И тоже платный.
В целом это логично, если ты не доверяешь толпе авторов, то ответственность на себя берёт кто-то другой, выполняет работу и эта работа стоит денег. Но хотелось бы, конечно, что-то более доступное.
А как вы решаете вопросы безопасности? Вас пугает толпа зависимостей проекта, за которой реально не так то просто уследить?
#поделитесь_своим_опытом
на @zen_of_python
👍3
Свежий опен-сорс проект от Python-энтузиаста — httpmorp. Это HTTP‑клиент с фокусом на имитацию браузера. Автор заточил код для маскировки запросов, чтобы всё выглядело так, как будто их делает Chrome 142. При этом API максимально совместим с обычным requests: те же get/post, Session, cookies, и ставится обычным
В проекте используется BoringSSL и nghttp2, чтобы TLS/HTTP2 сигнатуры совпадали с браузером. Есть поддержка асинхронных клиентов, пулов соединений и прокси с авторизацией. Цель инструмента — правдоподобная мимикрия TLS/HTTP, а не максимальная скорость; за перформансом лучше смотреть на httpx/aiohttp. Подробнее в документации.
Автор подчёркивает, что проект пока учебный и не для продакшена; из зрелых альтернатив рекомендует обратить внимание на curl_cffi. Тем не менее, инструмент полезен, если ваш скрипт блокируют несмотря на корректный User‑Agent.
@zen_of_python
pip install httpmorph.В проекте используется BoringSSL и nghttp2, чтобы TLS/HTTP2 сигнатуры совпадали с браузером. Есть поддержка асинхронных клиентов, пулов соединений и прокси с авторизацией. Цель инструмента — правдоподобная мимикрия TLS/HTTP, а не максимальная скорость; за перформансом лучше смотреть на httpx/aiohttp. Подробнее в документации.
Автор подчёркивает, что проект пока учебный и не для продакшена; из зрелых альтернатив рекомендует обратить внимание на curl_cffi. Тем не менее, инструмент полезен, если ваш скрипт блокируют несмотря на корректный User‑Agent.
@zen_of_python
✍3🔥1
Да, venv это круто и удобно, но есть проблемы:
— чтобы посмотреть какие внутри пакеты, надо активировать конкретное окружение;
— нет удобного способа посмотреть все venv и что в них творится;
— сколько всё это места на диске занимает непонятно.
Вас это тоже волнует? Нет? А вот один программист настолько устал вбивать постоянно
Главная фишка venv-rs в том, что это именно интерфейс с навигацией, а не просто набор CLI-команд. Можно быстро просмотреть список всех окружений, установленные пакеты в каждом, узнать размер на диске и скопировать команду активации в буфер одним нажатием. Инструмент рекурсивно ищет окружения в указанной папке и кэширует, чтобы при следующем запуске не тормозить.
В посте автора на Reddit есть сравнительная таблица с другими решениями вроде virtualenvwrapper, venv-manager и uv. Основное отличие — визуальный интерфейс вместо команд. Правда, venv-rs пока не умеет создавать и удалять окружения, только управлять существующими. Также есть нюансы: Mac не поддерживается, а первый запуск может быть долгим, если у вас много окружений с кучей пакетов.
@zen_of_python
— чтобы посмотреть какие внутри пакеты, надо активировать конкретное окружение;
— нет удобного способа посмотреть все venv и что в них творится;
— сколько всё это места на диске занимает непонятно.
Вас это тоже волнует? Нет? А вот один программист настолько устал вбивать постоянно
activate бла-бла, что закодил venv-rs — менеджер виртуальных окружений для Python. Написан на Rust, работает быстро. Показывает все окружения в удобном виде прямо в терминале.Главная фишка venv-rs в том, что это именно интерфейс с навигацией, а не просто набор CLI-команд. Можно быстро просмотреть список всех окружений, установленные пакеты в каждом, узнать размер на диске и скопировать команду активации в буфер одним нажатием. Инструмент рекурсивно ищет окружения в указанной папке и кэширует, чтобы при следующем запуске не тормозить.
В посте автора на Reddit есть сравнительная таблица с другими решениями вроде virtualenvwrapper, venv-manager и uv. Основное отличие — визуальный интерфейс вместо команд. Правда, venv-rs пока не умеет создавать и удалять окружения, только управлять существующими. Также есть нюансы: Mac не поддерживается, а первый запуск может быть долгим, если у вас много окружений с кучей пакетов.
@zen_of_python
This media is not supported in your browser
VIEW IN TELEGRAM
❤6