<div dir="ltr">PyPI è un arma a doppio taglio praticamente :/<br>Conda fa qualche controllo sulle repo accessibili oppure anche li nisba totale? Solo per chiedere</div><div class="gmail_extra"><br><div class="gmail_quote">Il giorno 16 settembre 2017 19:00, Federico Cerchiari <span dir="ltr"><<a href="mailto:federicocerchiari@gmail.com" target="_blank">federicocerchiari@gmail.com</a>></span> ha scritto:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>No, su PyPI non ci sono controlli di nessun tipo. Basta registrarsi con una qualsiasi mail ed è possibile registrare e uploadare un package.<br></div><div>L'unico controllo è che non puoi registrare un package che ha lo stesso nome di un'altro registrato da un'altro utente.<br></div><div><br></div><div>Un'altro vincolo è che registrare e uploadare packages su PyPI con twnie o setuptools non è così immediato, sono pieni di bug :D</div><div><br></div><div>Il codice che finisce su PyPI non subisce nessun controllo. Neanche su similarità dei nomi o equivalenza dei nomi registrati su pypi con quelli dell'effettivo import.</div><div>Per esempio io potrei domani rilasciare "djang", un clone di django con dentro codice malevolo, e fare in modo che l'utente lo possa usare scrivendo "import django".</div><div>A questo punto basta che qualcuno si sbagli a scrivere "pip install django" mancando l'ultima lettera che il mio codice malevolo sarebbe usato nel suo software.</div><div><br></div><div>L'unico modo per essere sicurissimi di quel che si sta usando/scaricando da PyPI è controllare su PyPI dove punta il link di download del progetto (di solito GitHub o simili), e verificare sul repo del progetto il codice o le referenze del progetto stesso "a occhio".</div><div><div class="h5"><div><br></div><div class="gmail_extra"><br><div class="gmail_quote">Il giorno 16 settembre 2017 15:06, Federico Pasqua <span dir="ltr"><<a href="mailto:federico.pasqua.96@gmail.com" target="_blank">federico.pasqua.96@gmail.com</a>></span> ha scritto:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">Pensavo ci fossero dei controlli anche solo superficiali su PyPI</div><div class="gmail_extra"><br><div class="gmail_quote">Il 16 set 2017 1:16 PM, "Enrico Bianchi" <<a href="mailto:enrico.bianchi@live.com" target="_blank">enrico.bianchi@live.com</a>> ha scritto:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div lang="IT" link="#0563C1" vlink="#954F72">
<div class="m_-1704858532781836372m_-4820053558359767005m_7115761721216510626WordSection1">
<p class="MsoNormal"><a href="http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/" target="_blank">http://www.nbu.gov.sk/skcsirt-<wbr>sa-20170909-pypi/</a></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Enrico<u></u><u></u></p>
</div>
</div>
<br>______________________________<wbr>_________________<br>
Python mailing list<br>
<a href="mailto:Python@lists.python.it" target="_blank">Python@lists.python.it</a><br>
<a href="https://lists.python.it/mailman/listinfo/python" rel="noreferrer" target="_blank">https://lists.python.it/mailma<wbr>n/listinfo/python</a><br>
<br></blockquote></div></div>
<br>______________________________<wbr>_________________<br>
Python mailing list<br>
<a href="mailto:Python@lists.python.it" target="_blank">Python@lists.python.it</a><br>
<a href="https://lists.python.it/mailman/listinfo/python" rel="noreferrer" target="_blank">https://lists.python.it/mailma<wbr>n/listinfo/python</a><br>
<br></blockquote></div><br></div></div></div></div>
<br>______________________________<wbr>_________________<br>
Python mailing list<br>
<a href="mailto:Python@lists.python.it">Python@lists.python.it</a><br>
<a href="https://lists.python.it/mailman/listinfo/python" rel="noreferrer" target="_blank">https://lists.python.it/<wbr>mailman/listinfo/python</a><br>
<br></blockquote></div><br></div>