Например, проверяют ли они цифровую подпись (например, apt-get и Windows Update), или им может потребоваться использование SSL? Если нет, я немного обеспокоен тем, что загруженные пакеты могут быть троянскими.
3 ответа
3
Пип был обновлен:
Проверка SSL сертификата
Начиная с версии 1.3, pip обеспечивает проверку SSL-сертификата по протоколу https, чтобы предотвратить атаки типа «человек посередине» против загрузок PyPI.
Версия 8.0 также имеет функциональность для проверки на локальные хеши.
2
Все пакеты Python не размещены на pypi.python.org, но easy_install будет искать на странице PyPi ссылки для скачивания. Многие распространенные пакеты, такие как PIL и lxml, используют свой собственный сервер распространения (который на самом деле часто вызывает проблемы у потребителей пакетов). Пример: http://pypi.python.org/pypi/PIL/
Кажется, сам pypi.python.org не предлагает никакой поддержки HTTPS.
Если вы хотите обеспечить безопасную среду easy_install / pip, я предлагаю вам зеркалировать необходимые пакеты на сервер, где вы сами поддерживаете HTTPS, а затем ограничить загрузку на этот сервер, используя параметр --allow-hosts :
http://packages.python.org/distribute/easy_install.html#restricting-downloads-with-allow-hosts
1
Там, где это возможно, следует добавить информацию MD5 для загрузки URL-адресов, добавив идентификатор фрагмента в форме # md5 = ..., где ... - это шестнадцатеричный дайджест MD5 из 32 символов. EasyInstall проверит, соответствует ли дайджест MD5 загруженного файла указанному значению.
http://packages.python.org/distribute/easy_install.html
Кажется , easy_install делает некоторые проверки, но, кажется , он только проверяет , если репозиторий пакетов предоставляет ключ MD5.
Раздел будущих планов на той же странице дополнительно освещает это:
Планы на будущее:
- Проверка подписи? SSL? Возможность подавить поиск PyPI?