mysqlclient-python & Sicherheitsprobleme

Question

Ich kann nicht herausfinden, ob ich irgendein Risiko in Bezug auf Schadsoftware & Sicherheit übernehmen werde, wenn ich mysqlclient-Python von hier https://pypi.python.org/pypi/mysqlclient herunterladen? Ist mysqlclient-python in PyPI Ihrer Meinung nach zuverlässig? Ich möchte mysqlclient in meiner globalen Python-Umgebung installieren, nicht virtualenv.

Ich habe angefangen, Python zu lernen. Ich möchte Django Framework und Mysql-Datenbank versuchen. Ich habe sie bereits installiert. Ich weiß, dass PyPI ein Repository von Drittanbietern ist, und jeder mit etwas Erfahrung kann sein Paket schreiben und in PyPI hochladen.

Ist es sicher, mysqlclient mit Pip und PyPI zu installieren?

Answer 1

PyPI ist der offizielle Paketvertriebskanal, der von der Hauptseite von https://www.python.org verlinkt ist.

In diesem Sinne tragen Sie sicherlich alle Risiken, indem Sie alles aus dem Internet herunterladen und installieren. Vor nicht allzu langer Zeit konnte weder setuptools noch pip SSL-Zertifikate verifizieren und der Großteil der Kommunikation erfolgte über einfaches HTTP. Es ist üblich und empfehlenswert, die gesamte Software, die Sie in einer Produktionsumgebung verwenden möchten, in einer isolierten Umgebung zu testen und Ihre Produktionsumgebung über ein internes Repository von Paketen einzurichten, das bereits von Ihnen getestet wurde. Jede Paketverwaltungssoftware ermöglicht die Angabe eines benutzerdefinierten Repositorys, von dem aus installiert werden soll.