Max*_*axB 21 python security pip
使用Debian或Ubuntu软件包,可以进行一些质量控制.PIP是相似的,还是完全免费的?任何人都可以根据自己想要的名称上传任何他们想要的代码吗?
似乎有一些垃圾软件包,如https://pypi.python.org/pypi/opencv/0.0.1,它与一个非常流行的计算机视觉框架同名.
Dav*_*d Z 21
不,没有第三方检查上传到PyPI的代码(Python包索引,这是pip下载包的地方,除非另有明确说明).唯一的限制是,一旦包名存在,只有维护者可以上传具有该名称的包(即,您不能使用相同的名称向其他人的包提交恶意升级).维护人员应确保在PyPI上提供的任何内容都不包含恶意软件,除非他们打算将其作为恶意软件,并且每个开发人员都应该知道他们使用pip下载了什么.
这已在一项调查"域名抢注"的研究项目中被利用.研究人员将一些"模拟恶意软件"(大多数无害)上传到PyPI,其名称是拼写错误的流行软件包名称,以便收集这些拼写错误的软件包安装频率的数据.如果一个黑帽黑客做了同样的事情,他们可能会使用更多的恶意代码.
另请参阅有关同一主题的此安全堆栈交换问题.