И это ведь я ещё не изучил сам исходный код проекта и каждого импорта (кой их 30+ загружается вместе с django-cfg).
На мой взгляд это выглядит как попытка supply-chain атаки. Особенно если учесть названия проектов, которые созвучны с полноценными, известными проектами. (pydantic2 чего стоит, или аналогия ТС на django-configurations)
Увидя название статьи, подумал будет статья о безопасности, о грамотной настройке settings.py и защите данных.
Но не тут то было, статья о вообще другом, о рекламе своего продукта, который по большей части сделан нейронками, и обещает сэкономить миллионы на продакшене, на энтепрайзе (раз у нас сравнение сеньора и мидла). Немного пораскинув мозгами, выходит так что скупой платит дважды, и если мы сэкономим на нормальной настройке, то вот что нас ждёт:
(Раз проект делала нейронка и скорее всего статью тоже, то грех не воспользоваться ею для беглого анализа проекта)
Этот пакет нельзя использовать в продакшене, потому что:
Это не «конфиг-хелпер», а громоздкий комбайн: внутри 190+ файлов, десятки модулей (accounts, api/commands, middleware, leads, telegram, currency, llm и пр.), что резко увеличивает поверхность атаки и риски цепочки поставки.
Устанавливает консольный скрипт django-cfg с широкими полномочиями (entry_points), что добавляет необязательные точки выполнения кода во всей системе.
В исходниках есть прямые вызовы subprocess из веб- и management-контекста, что при конфигурационных ошибках может привести к удалённому выполнению команд.
Много сетевых вызовов (requests/telebot) в core, middleware и модулях — потенциальные каналы эксфиляции и зависимость от внешних сервисов без прозрачного аудита.
Публичный репозиторий и документация нестабильны/недоступны (часто 404), что делает аудит и доверие к обновлениям невозможными.
Обещания «магии» в виде автоконфигов противоречат лучшим практикам Django: минимальная магия, явные настройки через окружение/конфиги и ограниченные зависимости.
Рекомендация: отказаться от пакета; использовать стандартные настройки Django или зрелую альтернативу django-configurations (Jazzband) с минимальными зависимостями и прозрачной историей.
В любом случае такие громоздкие IDE, как Pycharm, не приучают работать с зависимостям проекта. Каждый студент должен пощупать ручками pip, pip freeze, venv, git, как самые базовые вещи. И за счёт того что эти вещи базовые/фундаментальные, они должны использоваться без гуглежки "как установить ...", "как сохранить зависимости", "как собрать виртуальное окружение". И это я не говорю про графические окружения докеров и прочего.
А мне написала лучший дистрибутив Линукс, а именно Chimbalix. Самое то чтобы запускать игры на Линуксе, сравнивать производительность и делать статьи на оверклокерс.
Я может не сильно разбираюсь в нейроно-чатах. Но вроде как существует pre-prompt. Сообщение которое служит информацией того, кем нейронка должна быть и что делать. В большинстве ботах (и вроде официальном чатгпт) прописано "Ты ...ботнейм-версия..., ты являешься интерактивным помощником, ты должен достоверно отвечать...блабла". Ну а пользователь его не видит (но по сути это первое сообщение в диалоге).
И бывает его можно настроить самому или взять в "магазине ботов". Вот тут пазл и складывается.
P.s.: проверил прям щас в приложении чатгпт:
"Вот как выглядит то самое системное сообщение, которое мне присваивается в начале каждого сеанса:
System Message:
> "You are ChatGPT, a large language model trained by OpenAI. You are chatting with the user via the ChatGPT Android app. This means most of the time your lines should be a sentence or two, unless the user's request requires reasoning or long-form outputs. Never use emojis, unless explicitly asked to. Knowledge cutoff: 2023-10. Current date: 2024-11-14."
Эта базовая информация помогает задавать тон, формат, а также учитывать особенности вашего приложения и текущие даты или ограничения по данным."
Проверить работу можно подключившись к голосовому каналу на сервере. Если спокойно подключает к серверу голосового чата, то вам каким то образом повезло
Смотря на громоздкость сие чуда, мне кажется лучше заменить способ управления платой и убрать дисплей. Вместо использовать кнопку и пару светодиодов (3 светодиода хватит чтобы выбрать 15 ключей). Т.е нажимая на кнопку будет меняться ключ и номер ключа на светодиодах (двоичные числа 0 0 1 = 1й ключ, 0 1 1 = 3й ключ, где 0 и 1 светодиод не горит и горит). А отладочную информацию и настройку устройства повесить на веб морду, у вас же это esp8266 как никак с wifi модулем, тем самым будет более информативная информация на смартфоне.
Имею на руках ноутбуко-планшет asus tx201l, года эдак 2014. В нём с завода нет разблокировки загрузчика. Кажется asus единственные производители мобильников, где разблокировка происходит очень топорно. Хотя понимаю что это затратно, ибо нужно поддерживать такие устройства, хотя бы документацией, хотя бы файлами, хранить старые версии веб страниц.
Слышал у zenfone'ов разблокировка была через фирменное приложение, может кто объяснить как это происходило?
2 февраля, если не ошибаюсь, все банки пишут при оплате онлайн (Когда уже код в виде смс приходит) Там снизу маленькая плашечка вылезает. Но в новости на Хабре, немного другая тема
Слушай, я может и не шарю, но твоя статья же по сути про то, что "зачем платить сеньору, если можно мидла с cfg взять".
Ты мне сам пишешь, что я — мидл, потому что "не использовать в проде".
Тогда выходит, что твой тул для мидлов, а мидлы его и не берут.
Это как-то грустный замкнутый круг получается: софт для тех, кто им пользоваться не станет.
И это ведь я ещё не изучил сам исходный код проекта и каждого импорта (кой их 30+ загружается вместе с django-cfg).
На мой взгляд это выглядит как попытка supply-chain атаки. Особенно если учесть названия проектов, которые созвучны с полноценными, известными проектами. (pydantic2 чего стоит, или аналогия ТС на django-configurations)
Увидя название статьи, подумал будет статья о безопасности, о грамотной настройке settings.py и защите данных.
Но не тут то было, статья о вообще другом, о рекламе своего продукта, который по большей части сделан нейронками, и обещает сэкономить миллионы на продакшене, на энтепрайзе (раз у нас сравнение сеньора и мидла). Немного пораскинув мозгами, выходит так что скупой платит дважды, и если мы сэкономим на нормальной настройке, то вот что нас ждёт:
(Раз проект делала нейронка и скорее всего статью тоже, то грех не воспользоваться ею для беглого анализа проекта)
Этот пакет нельзя использовать в продакшене, потому что:
В любом случае такие громоздкие IDE, как Pycharm, не приучают работать с зависимостям проекта. Каждый студент должен пощупать ручками pip, pip freeze, venv, git, как самые базовые вещи. И за счёт того что эти вещи базовые/фундаментальные, они должны использоваться без гуглежки "как установить ...", "как сохранить зависимости", "как собрать виртуальное окружение". И это я не говорю про графические окружения докеров и прочего.
А мне написала лучший дистрибутив Линукс, а именно Chimbalix. Самое то чтобы запускать игры на Линуксе, сравнивать производительность и делать статьи на оверклокерс.
((Кто знает, тот знает))
Я может не сильно разбираюсь в нейроно-чатах. Но вроде как существует pre-prompt. Сообщение которое служит информацией того, кем нейронка должна быть и что делать. В большинстве ботах (и вроде официальном чатгпт) прописано "Ты ...ботнейм-версия..., ты являешься интерактивным помощником, ты должен достоверно отвечать...блабла". Ну а пользователь его не видит (но по сути это первое сообщение в диалоге).
И бывает его можно настроить самому или взять в "магазине ботов". Вот тут пазл и складывается.
P.s.: проверил прям щас в приложении чатгпт:
"Вот как выглядит то самое системное сообщение, которое мне присваивается в начале каждого сеанса:
System Message:
> "You are ChatGPT, a large language model trained by OpenAI. You are chatting with the user via the ChatGPT Android app. This means most of the time your lines should be a sentence or two, unless the user's request requires reasoning or long-form outputs. Never use emojis, unless explicitly asked to. Knowledge cutoff: 2023-10. Current date: 2024-11-14."
Эта базовая информация помогает задавать тон, формат, а также учитывать особенности вашего приложения и текущие даты или ограничения по данным."
Проверить работу можно подключившись к голосовому каналу на сервере. Если спокойно подключает к серверу голосового чата, то вам каким то образом повезло
Смотря на громоздкость сие чуда, мне кажется лучше заменить способ управления платой и убрать дисплей. Вместо использовать кнопку и пару светодиодов (3 светодиода хватит чтобы выбрать 15 ключей). Т.е нажимая на кнопку будет меняться ключ и номер ключа на светодиодах (двоичные числа 0 0 1 = 1й ключ, 0 1 1 = 3й ключ, где 0 и 1 светодиод не горит и горит). А отладочную информацию и настройку устройства повесить на веб морду, у вас же это esp8266 как никак с wifi модулем, тем самым будет более информативная информация на смартфоне.
Желаю вам успехов!
Имею на руках ноутбуко-планшет asus tx201l, года эдак 2014. В нём с завода нет разблокировки загрузчика. Кажется asus единственные производители мобильников, где разблокировка происходит очень топорно. Хотя понимаю что это затратно, ибо нужно поддерживать такие устройства, хотя бы документацией, хотя бы файлами, хранить старые версии веб страниц.
Слышал у zenfone'ов разблокировка была через фирменное приложение, может кто объяснить как это происходило?
2 февраля, если не ошибаюсь, все банки пишут при оплате онлайн (Когда уже код в виде смс приходит) Там снизу маленькая плашечка вылезает. Но в новости на Хабре, немного другая тема
Ребят, ну я же не один вижу интересное совпадение с новостью https://habr.com/ru/companies/f_a_c_c_t/news/789850/
Вкратце "Если не установишь наш
сертификатвирусняк, то 30 января не будет работать интернет".