Misalnya, apakah mereka memeriksa tanda tangan digital (seperti apt-get dan Pembaruan Windows) atau dapatkah mereka diminta untuk menggunakan SSL? Jika tidak, saya agak khawatir bahwa paket yang diunduh bisa saja trojan ..
4
Misalnya, apakah mereka memeriksa tanda tangan digital (seperti apt-get dan Pembaruan Windows) atau dapatkah mereka diminta untuk menggunakan SSL? Jika tidak, saya agak khawatir bahwa paket yang diunduh bisa saja trojan ..
Jawaban:
Pip telah diperbarui :
Versi 8.0 juga memiliki fungsi periksa hash lokal .
sumber
Semua paket Python tidak di-host di pypi.python.org, tetapi easy_install akan mencari halaman PyPi untuk tautan unduhan. Banyak paket umum seperti PIL dan lxml menggunakan server distribusi mereka sendiri (yang sebenarnya sering menyebabkan masalah bagi konsumen paket). Contoh: http://pypi.python.org/pypi/PIL/
pypi.python.org sendiri sepertinya tidak menawarkan dukungan HTTPS dalam bentuk apa pun.
Jika Anda ingin memberikan lingkungan easy_install / pip aman saya sarankan Anda mencerminkan paket-paket yang diperlukan untuk server tempat Anda mengelola HTTPS sendiri dan kemudian membatasi unduhan ke server ini menggunakan
--allow-hosts
pilihan:http://packages.python.org/distribute/easy_install.html#restricting-downloads-with-allow-hosts
sumber
http://packages.python.org/distribute/easy_install.html
Tampaknya easy_install melakukan beberapa validasi, tetapi sepertinya itu hanya memeriksa apakah repositori paket memasok kunci MD5.
Itu rencana masa depan bagian dari halaman yang sama hilights lebih lanjut ini:
sumber