パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

PyPI で公開されているパッケージの半数近くが何らかのセキュリティ上の問題を含むとの調査結果」記事へのコメント

  • by Anonymous Coward

    問題を大きく見せたいのだろうけど、
    大半が個人が試しに登録してみた程度のまともに使われていないものであることは想像に難くない。
    パッケージ管理システム全体の信頼性という意味では各パッケージのダウンロード数を掛けたものを分母にすべきだろう。
    経験則以上の根拠は全くないが深刻度中以上は1%以下とかそういう数字になると思う。
    元記事の

    The situation is similar with package registries like Maven (for Java), NuGet (for .NET), RubyGems (for Ruby), CPAN (for Perl), and CRAN (for R).

    についても同様。

    • by Anonymous Coward

      ダウンロード数≠使用数なので。長く改変の必要がないなら必然的にランクが上がる。。
      それにまともに使われてないという想定がひっくり返る、参考として使われている可能性だってある。

      • by Anonymous Coward on 2021年08月02日 12時38分 (#4082478)

        あたりまえのこと言うなよ。
        今の単なる全パッケージが同じ重みであるという状態よりはよほど実態に近づくって話だろ。

        親コメント

犯人はmoriwaka -- Anonymous Coward

処理中...