Misalnya, apakah mereka memeriksa tanda tangan digital (seperti apt-get dan Pembaruan Windows) atau dapatkah mereka diminta untuk menggunakan SSL? Jika tidak, saya agak khawatir bahwa paket yang diunduh bisa saja trojan ..
Misalnya, apakah mereka memeriksa tanda tangan digital (seperti apt-get dan Pembaruan Windows) atau dapatkah mereka diminta untuk menggunakan SSL? Jika tidak, saya agak khawatir bahwa paket yang diunduh bisa saja trojan ..
Jawaban:
Pip telah diperbarui :
Verifikasi Sertifikat SSL
Dimulai dengan v1.3, pip menyediakan verifikasi sertifikat SSL https, untuk mencegah serangan man-in-the-middle terhadap unduhan PyPI.
Versi 8.0 juga memiliki fungsi periksa hash lokal .
Semua paket Python tidak di-host di pypi.python.org, tetapi easy_install akan mencari halaman PyPi untuk tautan unduhan. Banyak paket umum seperti PIL dan lxml menggunakan server distribusi mereka sendiri (yang sebenarnya sering menyebabkan masalah bagi konsumen paket). Contoh: http://pypi.python.org/pypi/PIL/
pypi.python.org sendiri sepertinya tidak menawarkan dukungan HTTPS dalam bentuk apa pun.
Jika Anda ingin memberikan lingkungan easy_install / pip aman saya sarankan Anda mencerminkan paket-paket yang diperlukan untuk server tempat Anda mengelola HTTPS sendiri dan kemudian membatasi unduhan ke server ini menggunakan --allow-hosts
pilihan:
http://packages.python.org/distribute/easy_install.html#restricting-downloads-with-allow-hosts
Jika tersedia, informasi MD5 harus ditambahkan untuk mengunduh URL dengan menambahkan pengenal fragmen dari formulir # md5 = ..., di mana ... adalah 32-karakter hex MD5 digest. EasyInstall akan memverifikasi bahwa intisari file MD5 yang diunduh cocok dengan nilai yang diberikan.
http://packages.python.org/distribute/easy_install.html
Tampaknya easy_install melakukan beberapa validasi, tetapi sepertinya itu hanya memeriksa apakah repositori paket memasok kunci MD5.
Itu rencana masa depan bagian dari halaman yang sama hilights lebih lanjut ini:
Rencana masa depan:
- Pengecekan tanda tangan? SSL? Kemampuan untuk menekan pencarian PyPI?