Mit Debian- oder Ubuntu-Paketen gibt es einige Qualitätskontrolle. Ist PIP ähnlich oder ist es komplett kostenlos? Kann jemand den gewünschten Code unter einem beliebigen Namen hochladen?Sind PIP-Pakete zusammengestellt? Ist es sicher, sie zu installieren?
Es scheint einige Junk-Pakete wie https://pypi.python.org/pypi/opencv/0.0.1 zu geben, die zum Beispiel den gleichen Namen wie ein sehr beliebtes Computer-Vision-Framework haben.
Nein, der Code, der in PyPI hochgeladen wird, wird nicht von Drittanbietern überprüft (der Python-Paket-Index, in dem pip-Pakete heruntergeladen werden, sofern nicht ausdrücklich anders angegeben). Die einzige Einschränkung besteht darin, dass, sobald ein Paketname existiert, nur der/die Betreuer Pakete mit diesem Namen hochladen können (d. H. Sie können kein schädliches Upgrade an das Paket eines anderen mit dem gleichen Namen senden). Es liegt in der Verantwortung des Betreuers sicherzustellen, dass alles, was sie auf PyPI zur Verfügung stellen, keine Malware enthält, es sei denn, sie beabsichtigen, Malware zu sein, und jeder einzelne Entwickler muss wissen, was er mit pip herunterlädt.
Dies wurde in einem research project investigating "typosquatting" ausgenutzt. Der Forscher lud einige "Simulations-Malware" (hauptsächlich harmlos) nach PyPI unter Namen hoch, die falsch geschriebene Versionen beliebter Paketnamen waren, um Daten darüber zu sammeln, wie oft diese falsch geschriebenen Pakete installiert wurden. Wenn ein Schwarzhacker dasselbe getan hätte, hätten sie viel mehr bösartigen Code verwenden können.
Siehe auch diese Security Stack Exchange question zum gleichen Thema.