С пакетами Debian или Ubuntu есть контроль качества. Является ли PIP похожим, или это полный бесплатный для всех? Может ли кто-нибудь загрузить любой код, который они хотят, под любым именем, которое они хотят?Купили ли пакеты PIP? Безопасно ли устанавливать их?
Похоже, что некоторые пакеты нежелательной почты, такие как https://pypi.python.org/pypi/opencv/0.0.1, имеют то же имя, что и очень популярная инфраструктура компьютерного зрения.
Нет, нет никаких сторонних проверок кода, загружаемого в PyPI (Индекс пакета Python, где pip загружает пакеты, если явно не указано иное). Единственное ограничение заключается в том, что после того, как имя пакета существует, только сопровождающий может загрузить пакеты с этим именем (т. Е. Вы не можете отправить вредоносное обновление в чужой пакет с использованием того же имени). Разработчик должен убедиться, что все, что они делают на PyPI, не содержит вредоносных программ, если только они не намереваются использовать это вредоносное ПО, и каждый отдельный разработчик должен знать, что они загружают с помощью pip.
Это было использовано в research project investigating "typosquatting". Исследователь загрузил некоторые «имитационные вредоносные программы» (в основном безвредные) для PyPI под именами, которые были с ошибками в версиях популярных имен пакетов, чтобы собирать данные о том, как часто устанавливались эти пакеты с ошибками. Если хакер-хакер сделал то же самое, они могли бы использовать гораздо более злонамеренный код.
См. Также эту статью Security Stack Exchange question на эту же тему.