Sécurité et confidentialité liées aux packages

Bonjour à tous ! Je me posais une question liée à la sécurité et la confidentialité par rapport aux packages. Est ce qu’il est possible qu’un package présente des risques via les scripts Python ou les combinaisons de nœuds qui y sont faites ? Merci par avance.
Sarah

Bonjour Sarah,
En théorie, il est possible de dissimuler du code malicieux dans un script python.
Je n’ai jamais entendu dire que ça été fait mais c’est envisageable.
Dans le doute, il faut mieux télécharger des packages reconnus ou examiner le code contenu dans les packages plus confidentiels.

3 « J'aime »

Ok, merci Alban. Quelle serais ta liste des packages « reconnus » ? GeniusLoci en fait partie je me doute ^^ Parce que moi, examiner le code je ne saurai pas faire :frowning:

Un bon indice est le nombre de téléchargements et le nombre de votes, ainsi que la dernière date de mise à jour :


Si tu as déjà tous ces packages d’installés, tu peux couvrir la plupart des cas d’usage pour Revit.
Pour ma part, j’utilise les 8 premiers packages de cette liste et recommande à mes collègues de limiter le nombre de packages installés pour faciliter la gestion et le déploiement des graphs.

Évidemment tout dépend de tes cas d’usage. Il y a toutes sortes de packages spécialisés qui peuvent être bien utiles.

4 « J'aime »

La sécurité: C’est un des premiers sujets que j’aborde en formation Dynamo.
C’est un risque, il ne faut pas pour autant être parano.
Top 10 des plus téléchargés, comme le mentionne Alban
et ne pas utiliser aveuglément n’importe quel package.
Centraliser, si possible, la gestion des packages et maintenir sa gestion par un ‹ sachant ›

  • hors sujet peut être -
    Les hackers ont des vecteurs de travail globalement plus simples ou plus intéressants de nos jours, regarder juste la quantité de spams reçus de manière journalière dans votre boite courriel.
    D’ailleurs, un des outils que j’utilise pour sensibiliser à la sécurité TI est le quizz https://phishingquiz.withgoogle.com/
    à faire tant qu’on a pas réussi à 100%, après cela vous aurez moins peur des spams
4 « J'aime »

Merci Alban et Jean Marc, je vais voir avec mon service IT si ça leur suffit. Vous avez fait comment pour le justifier aux vôtres ?

Pour ma part, les packages sont hébergés dans le cloud (Orkestra) donc je n’ai heureusement pas à composer avec l’IT.

Ok. Tu veux dire par là que l’IT a validé Orkestra, donc c’est suffisant pour garantir la sécurité par rapport aux packages ?

Certainement pas. Orkestra ne fait qu’héberger les packages, la personne avec les droits suffisamment élevés sur Orkestra est en mesure de mettre tout ce qu’elle veut disponible (le sécure comme le moins sécure).

après, tout est relatif, si par exemple tes TI ne mettent pas à jour les versions des logiciels Revit en temps et en heure, tu peux être exposé à des failles de sécurité bien plus graves: log4shell dernièrement.

Dynamo est un outil, très ouvert, trop ouvert d’un point de vue sécurité, mais indispensable et permettant d’aller plus loin que Revit tout court.

2 « J'aime »

Merci pour toutes vos réponses à tous les deux, ça m’éclaire, j’aurai pu en cocher plusieurs comme « Solution ». En résumé, pas moyen d’être absolument sûr qu’un package soit sécure sans étudier tous ses scripts Python intégrés, mais les plus téléchargés, dont ceux que vous indiquez, peuvent être considéré comme suffisamment fiables.

2 « J'aime »