Нет, нет никаких сторонних проверок кода, загружаемого в PyPI (Индекс пакета Python, где pip загружает пакеты, если явно не указано иное). Единственное ограничение заключается в том, что после того, как имя пакета существует, только сопровождающий может загрузить пакеты с этим именем (т. Е. Вы не можете отправить вредоносное обновление в чужой пакет с использованием того же имени). Разработчик должен убедиться, что все, что они делают на PyPI, не содержит вредоносных программ, если только они не намереваются использовать это вредоносное ПО, и каждый отдельный разработчик должен знать, что они загружают с помощью pip.
Это было использовано в research project investigating "typosquatting". Исследователь загрузил некоторые «имитационные вредоносные программы» (в основном безвредные) для PyPI под именами, которые были с ошибками в версиях популярных имен пакетов, чтобы собирать данные о том, как часто устанавливались эти пакеты с ошибками. Если хакер-хакер сделал то же самое, они могли бы использовать гораздо более злонамеренный код.
См. Также эту статью Security Stack Exchange question на эту же тему.