Python

【零基础也能学】初学者从0到1，轻松入门； 【免费教程】内容、知识点丰富，完全免费； 【Python题库】在练习中巩固，查缺补漏； 【碎片化学习】每天30分钟，碎片化时间想学就学。

《Python》3.13强势来袭：交互式编程新体验，自由线程升级与JIT实验功能

10月8日消息，Python 3.13稳定版本于10月7日隆重登场，为该流行编程语言的使用者带来了本年度最为瞩目的升级。本次更新亮点包括错误消息的进一步优化，现在默认配备彩色高亮的回溯信息，使得代码调试更为直观高效。

此外，Python 3.13还融入了一个全新的交互式解释器，极大提升了开发者的工作体验与效率，标志着该语言在用户体验方面迈出了重要一步。

注：Python 3.13 更新原定于 10 月 1 日发布，不过由于性能回退方面的问题而延后 1 周时间发布。

本次更新最值得关注的变化是引入了新的交互式解释器，基于 PyPy，支持多行编辑，保存历史记录以及丰富的颜色提示支持。

此外新版本还在实验性自由线程（Free Threading）中去除了全局解释器锁（GIL），兼容在禁用全局解释器锁（GIL）的情况下运行，支持多核处理器。

新版本还实验性地支持即时编译（JIT）编译器，进一步提升了执行效率，特别是在计算密集型任务中。

团队原计划在 Python 3.13 中加入增量垃圾回收功能，但由于性能问题，该功能未能如期加入。开发团队决定维持现有的垃圾回收机制，以确保版本的稳定性，并计划在 Python 3.14 中重新考虑此功能。

Python第三方库PyPI成功拦截冒名顶替套件：Revival Hijack黑客手段被专家公开

近日消息，安全企业JFrog在一份报告中揭露了一种新型攻击策略——“Revival Hijack”。在这类攻击中，黑客盯上了已被撤除的PyPI库，通过重新注册相同的包名并上传植入恶意代码的新版本，利用用户对库状态变化的疏忽，实现隐蔽而有效的入侵。这一发现再度强调了开发者在依赖管理中验证软件包来源的重要性，以防成为此类攻击的受害者。

研究人员对下载超过 10 万次或运营超过半年的包进行了统计，发现这种冒名顶替式的攻击手法共计影响了 12 万个 PyPI 包。之所以这种冒名顶替式的攻击手法“如此常见”，是因为“许多开发者经常下架包”，据称“每月有超过 300 个包被下架”，从而给予黑客可乘之机。

为了防止黑客利用这种攻击手法，研究人员试图接管了一些已下架的包名，并上传版本号为 0.0.0.1 的空包以避免现有用户的 CI / CD 环境自动拉取和更新。然而即使采取了这些措施，根据研究人员统计，这些被接管的空包在几天内下载量仍达到数千次、三个月后总下载量超过 20 万次，这表明 Revival Hijack 的影响极为广泛。

目前该安全公司已将这一问题通报给 PyPI 团队，不过 PyPI 团队回应称他们早在 2022 年 7 月就已初步讨论过相关议题，但目前还需要进一步讨论解决办法。

研究人员强调， Revival Hijack 至今仍是极为有效的攻击手段，他们呼吁 PyPI 应制定严格政策，全面禁止重复使用相同的包名称，避免遭到黑客鸠占鹊巢。

《Python》核心GitHub仓库Token不慎泄露，面临黑客全面控制威胁

7月16日消息，网络安全社群中曝出了一项严重发现：一枚能够赋予最高权限访问权限的GitHub令牌不幸遭到了泄露。这枚令牌关联紧密，直接关系到Python语言的核心资源、Python软件包索引(PyPI)，以及Python软件基金会(PSF)的官方存储库。

PyPI作为Python开发者获取第三方软件包的重要平台，其安全性至关重要。

网络安全公司 JFrog 表示该 GitHub 私有访问 token 托管在 Docker Hub 上的公有 Docker 容器中，附上博文相关内容如下：

这起安全案例非常特殊，如果该 token 落入不法分子之手，其潜在破坏力再怎么形容都不为过，例如攻击者可以将恶意代码注入 PyPI 软件包（再升级所有 Python 软件包替换为恶意软件），甚至可以在 Python 语言本身中注入恶意代码。

JFrog 在公开 Docker 容器的一个编译 Python 文件（“build.cpython-311.pyc”）中发现该认证 token，于 2023 年 3 月 3 日前创建，由于安全日志在 90 天之后已失效，目前尚不清楚具体创建日期。

JFrog 于 2024 年 6 月 28 日披露该 token 之后，相关 token 立即被撤销，没有证据表明该 token 有被黑客利用。

《Python》编程语言人气飙升至18%，刷新TIOBE指数纪录：8月排行榜震撼发布

近日消息，TIOBE编程社区指数最新公布了2024年8月的编程语言排名，这一榜单基于全球工程师使用习惯、教育课程、顶尖供应商以及搜索引擎数据综合评定，揭示了当前最热门的编程语言趋势。让我们一睹本月哪些语言占据了榜单前列，了解编程界的最新风向标。

整理如下：

Python 排名第一：占比 18.04%，本月上升 4.71%

C++ 排行第二：占比 10.04%，本月下跌 0.59%

C 排行第三：占比 9.17%，本月下跌 2.24%

Java 排行第四：占比 9.16%，本月下跌 1.16%

C# 排行第五：占比 6.39%，本月下跌 0.65%

TIOBE 的 CEO Paul Jansen 表示，Python 在本月欢迎度首次突破 18%，创下历史纪录，作为比较，目前只有 Java 曾达到过相应 18% 里程碑，不过这已经是 2016 年 11 月的事情了。

排行榜亚军 C++ 现在与 Python 的差距达到 8%，虽然这只是第一名和第二名的区别，不过这反映出 C++ 在很长一段时间内难以超过 Python，并有可能被 C 语言反超。

Paul Jansen 认为，目前 Python 的地位已无可否认，本月的排行榜意味着 Python 正成为有史以来最受欢迎的编程语言，虽然目前我们能够看到 Rust、Kotlin 等竞争者，但这些语言还需要很长时间才能成为 Python 的真正威胁。