<div dir="ltr"><div>Ciao Pietro.</div><div dir="ltr"><br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">per pip puoi usare `pip freeze`, non so se funzioni con conda. Ma credo che comunque ci sia un modo "conda nativo" per listare i pacchetti. Basta cercare su internet o con un bell --help.</div><div dir="ltr" class="gmail_attr"><br></div></div></div></blockquote><div>Si, l'ho scritto nel mio messaggio originale, ho fatto le mie ricerche prima di postare, come sempre :) Ma se noti, come ho scritto, ci sono delle limitazioni in quell'approccio, e non so bene come superare quelle.</div><div> </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr"></div><div dir="ltr" class="gmail_attr">Questione più grande:</div><div dir="ltr" class="gmail_attr">Per python esiste già questo</div><div dir="ltr" class="gmail_attr"><a href="https://pypi.org/project/safety/" target="_blank">https://pypi.org/project/safety/</a><br></div><div dir="ltr" class="gmail_attr"><br></div><div dir="ltr" class="gmail_attr">Non l'ho mai usato, ma mi ricordavo di averne letto a riguardo.</div></div></div><br>
</blockquote><div>Si certo, lo conosciamo, solo che:</div><div><ol><li>il suo DB di vulnerabilità non e' manutenuto decentemente, <a href="https://github.com/pyupio/safety-db/commits/master" target="_blank">molte delle commit di aggiornamento sono vuote</a> e in circa un anno escono circa 100/150 nuove vulnerabilità solo su pacchetti Python quindi... aehm... non so se lo userei :) Ho pure contattato l'autore e CEO (?) di Safety ma mi ha detto che non era interessato ad integrazioni, quindi boh? </li><li>Non fornisce informazioni sulle versioni dei pacchetti</li><li>Non fornisce informazioni sulle licenze dei pacchetti </li></ol></div><div>Diciamo che personalmente non lo raccomando, soprattutto per lo scarsamente aggiornato database delle vulnerabilità. Ci sono altri competitor molto piu' "spessi" di cui preoccuparsi ma che, per fortuna, costano 5/10 volte noi :)</div><div><br></div><div>Ma quindi non il discorso "vulnerabilita' nei pacchetti opensource" non e' molto sentito in Python?</div><div><br></div><div>Ciao,</div><div><br></div><div> Bruno</div></div></div>