Hoy estamos poquitos en la tertulia y eso permite hablar a gente que nunca ha hablado antes: ¿Cómo puede aprender Python un novato? Python y seguridad https://podcast.jcea.es/python/23

Audio procesado con "rnnoise": https://jmvalin.ca/demo/rnnoise/.

Participantes:

• Jesús Cea, email: jcea@jcea.es, twitter: @jcea, https://blog.jcea.es/, https://www.jcea.es/. Conectando desde Madrid.

• Jesús, conectando desde Ferrol.

• Víctor Ramírez, twitter: @virako, programador python y amante de vim, conectando desde Huelva.

• Gato, desde Chile.

Audio editado por Pablo Gómez, twitter: @julebek.

La música de la entrada y la salida es "Lightning Bugs", de Jason Shaw. Publicada en https://audionautix.com/ con licencia - Creative Commons Attribution 4.0 International License.

• [00:53] Hoy no se han conectado los habituales (Virako conectó un rato en medio de la sesión). Por suerte, Jesús, un oyente silencioso habitual, se apiadó de mí.

  • ¿Cómo empezamos a programar en Python?

  • Empezar con el tutorial: https://docs.python.org/es/3/tutorial/index.html.

  • [05:43] Jesús Cea coleccionaba lenguajes de programación en su juventud.

    • Forth: https://es.wikipedia.org/wiki/Forth.

    • Ensamblador: https://es.wikipedia.org/wiki/Lenguaje_ensamblador.

  • [06:23] "La mejor herramienta para cada trabajo" tiene un coste oculto. Especializarse.

• [07:23] Mercado laboral en España para trabajar en remoto.

  • Los empleadores tienen exigencias poco realistas.

• [09:18] Hay mucho material para aprender.

  • Saqueadores edición técnica: http://set-ezine.org/.

• [12:48] Formación formal.

• [14:03] Comunidades locales Python:

  • Python Vigo: https://www.python-vigo.es/.

  • Se intentaba montar algo en La Coruña.

  • Makerspaces: A Industriosa https://aindustriosa.org/.

• [16:23] ¿Recursos que pueda usar un novato para aprender?

  • Asociación Python España: https://www.es.python.org/.

  • Lista de correo Python-es: https://mail.python.org/mailman/listinfo/python-es.

  • Internet.

• [19:23] Raspberry PI https://www.raspberrypi.org/, ESP8266 https://es.wikipedia.org/wiki/ESP8266, ESP32 https://es.wikipedia.org/wiki/ESP32.

• [21:43] Puesta al día de la semana.

• [23:28] Encuesta mundial de programadores de Python: Python Developers Survey 2020 Results https://www.jetbrains.com/lp/python-developers-survey-2020/.

• [24:04] Ya estamos repasando las grabaciones, con vista a publicarlas.

  • Las notas jugarán un papel importante en las grabaciones.

  • Capítulos.

• [26:03] IPFS: https://es.wikipedia.org/wiki/IPFS.

  • Peer 2 Peer: https://es.wikipedia.org/wiki/Peer-to-peer.

  • webrtc: https://es.wikipedia.org/wiki/WebRTC.

  • Contribuir compartiendo las fotos de Python España.

  • BitTorrent: https://es.wikipedia.org/wiki/BitTorrent.

• [29:33] Métricas de calidad de código.

  • Complejidad ciclomática: https://es.wikipedia.org/wiki/Complejidad_ciclom%C3%A1tica.

  • Radon: https://pypi.org/project/radon/.

  • Cobertura de test: Coverage https://pypi.org/project/coverage/.

  • Cada pequeño paso ayuda.

• [35:08] Porcentaje de código nuevo y mantenimiento.

• [36:33] Se perdió parte de la grabación de la tertulia de la semana pasada. Explicaciones.

  • Explicación de cómo se graban las tertulias.

• [41:13] Packt https://www.packtpub.com/. Muchos libros digitales sobre Python.

  • Un libro gratis al día: https://www.packtpub.com/free-learning.

  • Bot de telegram de notificaciones diarias: https://t.me/packtpubfreelearning.

• [44:33] Funciones que son malas prácticas en C.

  • C++ 'strcpy' gives a Warning (C4996): https://stackoverflow.com/questions/4012222/c-strcpy-gives-a-warning-c4996

• [46:23] Tema recurrente: ¿poner deberes?

• [48:08] ¿Progresos sobre Issue24676: Error in pickle using cProfile https://bugs.python.org/issue24676, visto en tertulias anteriores?

  • Bug poco prioritario.

  • Jesús Cea propone algunos rodeos al problema.

  • runpy: https://docs.python.org/3/library/runpy.html.

• [52:09] Volvemos al tema de cómo un novato puede aprender desde cero.

  • Hacer un proyecto pequeño.

  • Intentar no extenderse mucho, no hacer "muchas cosas".

  • Si no tiene base, el código del novato va a ser malo y con mucho más esfuerzo del necesario. Hace falta cierto tutelaje.

  • Examinar un proceso ajeno "pequeño" y estudiarlo.

  • Project Euler: https://projecteuler.net/.

  • Kata: https://es.wikipedia.org/wiki/Kata.

  • Ventajas de un libro: Aprendizaje estructurado, gradual y que prioriza lo importante.

  • Aprende Python en un fin de semana || Libro – PDF – EPUB – Descargar https://elcientificodedatos.com/aprende-python-en-un-fin-de-semana/.

  • Python España: Aprende Python https://www.es.python.org/pages/aprende-python.html.

  • Comunidades locales.

    • ¿Las charlas valen para algo?

  • ¿Alguien que no sabe programar en absoluto entiende qué significa a = a + 1?

  • Commodore VIC-20: https://en.wikipedia.org/wiki/Commodore_VIC-20.

  • BASIC: https://es.wikipedia.org/wiki/BASIC.

  • Escribir código a mano puede ayudar.

• [01:11:13] ¿Los emails de recordatorio a las listas de correo sirven para algo? ¿Son spam?

• [01:13:43] Python y seguridad. ¿Recomendaciones para novatos?

  • OWASP: https://owasp.org/.

  • OWASP Top Ten Web Application Security Risks: https://owasp.org/www-project-top-ten/.

  • Listas de correo de seguridad.

  • Desbordamiento de búfer: https://es.wikipedia.org/wiki/Desbordamiento_de_buffer.

  • Podcast: Security Now https://twit.tv/shows/security-now.

  • Hispasec: Noticias de seguridad diaria: Una al Día: https://unaaldia.hispasec.com/.

  • The CERT C Secure Coding Standard https://www.amazon.com/CERT-Secure-Coding-Standard/dp/0321563212.

  • Cada lenguaje tiene sus propios fallos de seguridad típicos, propios de las idiosincrasias o el estilo de ese lenguaje.

• [01:22:43] PEP 578 -- Python Runtime Audit Hooks https://www.python.org/dev/peps/pep-0578/

  • Audit events table: https://docs.python.org/3/library/audit_events.html.

• [01:24:43] Los "Framework" te protegen de fallos típicos conocidos https://es.wikipedia.org/wiki/Framework.

  • Si el "framework" es popular y se le encuentra un bug, eres susceptible a un ataque masivo.

    • Ejemplo: WordPress: https://es.wikipedia.org/wiki/WordPress.

  • Hay que preocuparse de tenerlo actualizado.

  • Django: https://www.djangoproject.com/.

  • Ataque de cadena de suministro: https://es.wikipedia.org/wiki/Ataque_a_cadena_de_suministro.

• [01:28:53] DevOps: https://es.wikipedia.org/wiki/DevOps.

  • Docker: https://www.docker.com/.

  • ¿Quién se preocupa de actualizarlo?

• [01:31:53] Volvemos al tema OWASP https://owasp.org/.

  • OWASP Top Ten Web Application Security Risks: https://owasp.org/www-project-top-ten/.

• [01:32:53] ¿En qué posición está Python respecto a la seguridad, respecto a otros lenguajes de programación?

  • DB-API 2.0: PEP 249 -- Python Database API Specification v2.0 https://www.python.org/dev/peps/pep-0249/.

  • sqlite3: https://docs.python.org/3/library/sqlite3.html.

  • Aunque un lenguaje de programación sea razonablemente seguro, los programadores introducen fallos de seguridad en su código. Algunos ejemplos.

  • pickle: https://docs.python.org/3/library/pickle.html.

  • eval: https://docs.python.org/3/library/functions.html#eval.

• [01:36:43] Ataque de cadena de suministro: https://es.wikipedia.org/wiki/Ataque_a_cadena_de_suministro.

  • Poison packages – “Supply Chain Risks” user hits Python community with 4000 fake modules: https://nakedsecurity.sophos.com/2021/03/07/poison-packages-supply-chain-risks-user-hits-python-community-with-4000-fake-modules/.

  • Cualquiera puede subir un módulo nuevo a PYPI: https://pypi.org/.

• [01:40:53] Costes del código abierto.

  • La reputación no basta.

  • Trabajo ingrato.

  • Depender del trabajo voluntario es un problema.

• [01:43:13] Auditoría automática de código.

  • Hay una diferencia entre código con bugs y ataques maliciosos conscientes.

  • Ejemplo, Antivirus. VirusTotal: https://www.virustotal.com/gui/, Hispasec https://hispasec.com/es/.

  • Un clásico de 1984: "Reflections on Trusting Trust": https://users.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf.

• [01:46:08] Es un problema universal. Dependemos del trabajo de mucha gente que no cobra, que lo hace por amor al arte.

  • Referencia obligada a XKCD https://xkcd.com/:

    • Dependency https://xkcd.com/2347/.

    • Wikipedia XKCD: https://es.wikipedia.org/wiki/Xkcd.

  • OpenSSL https://es.wikipedia.org/wiki/OpenSSL:

    • Heartbleed https://es.wikipedia.org/wiki/Heartbleed.

  • WordPress: https://es.wikipedia.org/wiki/WordPress.

• [01:50:03] Empresas que dan soporte comercial a productos de código abierto.

  • Red Hat: https://es.wikipedia.org/wiki/Red_Hat.

  • Opinión de Jesús Cea: Se vende tranquilidad, no seguridad.

    • Desplazas la responsabilidad a otro.

    • Gestión de riesgo. Proteger su puesto de trabajo.

    • "No han despedido nunca a nadie por comprar IBM": https://loscuenca.com/2010/04/nunca-han-despedido-a-nadie-por-contratar-a-______/

• [01:55:23] Hoy ha sido un día raro en la tertulia, faltan (casi) todos los habituales y habla gente que no ha hablado nunca.

  • Jesús Cea ya ha perdido el miedo a que no se conecte nadie a la tertulia semanal.

• [02:00:33] Falta la voz del "novato".

  • Aprende Python en un fin de semana || Libro – PDF – EPUB – Descargar https://elcientificodedatos.com/aprende-python-en-un-fin-de-semana/.

• [02:09:03] Traducción de la documentación Python al español:

  • Documentación Python en Español: https://docs.python.org/es/3/.

  • Documentación oficial de Python en español https://pyar.discourse.group/t/documentacion-oficial-de-python-en-espanol/238/23.

  • GitHub: https://github.com/python/python-docs-es/.

  • Documentación oficial de Python en Español https://elblogdehumitos.com/posts/documentacion-oficial-de-python-en-espanol/.

  • docs.python.org en Español https://elblogdehumitos.com/posts/docspythonorg-en-espanol/.

• [02:11:28] Final.