1
近日传来了一些关于一些恶意库是被上传到Python包索引(PyPI中),请参阅:验证的PyPI的Python的完整性工具包
- Malicious libraries on PyPI
- Malicious modules found into official Python repository(此链接包含恶意软件包列表)
- Developers using malicious Python Modules
我并不想forwar d这些消息,但我试图阻止我和其他队友确定PyPI的包是否未被外部变更。
问题:
- 我应该使用什么安全检查一次,我从PyPI将下载的程序包? MD5或任何额外的步骤?
- MD5签名是否足以验证Python包的完整性?
域名抢注与散列无关。您必须验证它是否是您使用的上游软件包。 –
另一个问题:一旦我下载一个软件包并检查它没有任何域名仿冒,那么MD5签名是否足以检查这个软件包的完整性? –
pip应该验证MD5签名,并且很难(如果可能)碰撞它。编辑:新的PyPI前端(pypi.io)已迁移到SHA256。 –