Arrowar
[BUG] - Pyinstallare [ANTIVIRUS]
Hola!
Ho scaricato l'ultima release e l'ho lasciato tutta la notte a scaricare una serie. Stamani mi sono svegliato e aprendo la cartella dov'è presente l'exe ESET Small Business Security lo ha spostato in quarantena.
Motivo: Suspicious Object.
Sottolineo che non lo mette in quarantena al RUNTIME, ma solo vedendo il file nell'esplore risorse. La cosa strana è che durante la notte la stessa cartella l'ho aperta più volte senza problemi.
Inoltre, cercando su VirusTotal: https://www.virustotal.com/gui/file/5be4a401cc5b5479949cb6efc0e9bfabea5da43afc8a3483b136b3d6f41c19f4 ESET (NOD32) non rileva questo hash come minaccia, mentre altri AV si.
In mia opinione è un problema non da poco, bisognebbe investigare e risolvere.
Il problema è sempre pyinstaller nel generera l'exe dato che non ha un certificato valido da usare e quindi fa scattare sempre ogni antivirus. Fai in modo che l'antivirus non lo rimuova ogni volta e dovrebbe andare.
Si, lo so bene, ma questo problema c'è da tempo ormai. Per me ignorarlo in questo modo non solo è una non-soluzione, ma inoltre apre tutte le porte, con pochi limiti, ad eventuali infezioni, non essendo più questa una piccola repo sconosciuta.
Se un PR contenente codice o un pacchetto malevolo dovesse essere accettato (è già successo, più volte), a quel punto saremmo tutti infetti senza neanche saperlo.
Si questo è un bel problema ma acquistare un certificato costa sui 100 euro all'anno.
E le donazioni che ricevo ogni tanto non bastano. Ringrazio comunque tutto quelli che sono riusciti a donare qualcosa.
Quindi per il momento non si può fare altrimenti.
Per le pr stai tranquillo che le guardo tutte io. Per le librerie esterne invece non posso essere onnisciente e guardarle tutte.
Bravissimo hai colto il centro. Per quanto tu possa essere una persona di cui si ci può fidare e per quanto tu sia attento, non puoi sostituire un antivirus. Ti può sfuggire qualcosa nel PR o avere una libreria compromessa, lì entrerebbe in gioco l'antivirus che noi abbiamo messo a dormire.
Un buco nella sicurezza incredibile da non sottovalutare. Ti posso consigliare di dare un'occhiata e valutare (puoi farlo solo tu essendo il proprietario della repo) questi servizi di firma che hanno un occhio di riguardo per progetti open-source:
- https://signpath.org/ (Firma gratuita, bisogna mandare richiesta)
- https://shop.certum.eu/open-source-code-signing-code.html (A pagamento, ma 25,00€)
Considera che ci sono dei requisiti da rispettare (anche nel codice) per ottenerli. Inoltre, la firma potrai integrarla nel flusso di GitHub Actions, così ogni release sarà firmata in automatico.
[!TIP] Per chi fosse interessato, la soluzione che fornisce il miglior compromesso sicurezza/funzionalità è fare un git clone del progetto ed eseguirlo direttamente con Python. Molto scomodo, ma funziona e si resta al sicuro.
Sono uno dei primi contributor di questo progetto. Sono ancora qui perché hai fatto sempre un ottimo lavoro. Spero tu possa accogliere questo consiglio per migliorare ancora una volta il progetto.
Perfetto secondo te meglio quella gratis o quella a 25 ?
Io direi di iniziare con quella gratuita. Magari prima di mandare la richiesta assicurati che tutto sia come desiderano. Se dovessero bocciarti la richiesta per la natura del progetto o qualcosa di simile (che non si può correggere/cambiare), proseguirei per la seconda.
Provato "https://signpath.org/" per vedere se me la dava gratis senza troppi problemi, ma sono arrivato ad un punto morto dove comunque bisogna pagare (dopo che comunque mi avevano accettato il progetto).
Si le opzioni si sono ridotte ad una. Appena guadagno qualcosa lo aggiungo.