[Python] skcsirt-sa-20170909-pypi

[Federico Cerchiari]

No, su PyPI non ci sono controlli di nessun tipo. Basta registrarsi con una
qualsiasi mail ed è possibile registrare e uploadare un package.
L'unico controllo è che non puoi registrare un package che ha lo stesso
nome di un'altro registrato da un'altro utente.

Un'altro vincolo è che registrare e uploadare packages su PyPI con twnie o
setuptools non è così immediato, sono pieni di bug :D

Il codice che finisce su PyPI non subisce nessun controllo. Neanche su
similarità dei nomi o equivalenza dei nomi registrati su pypi con quelli
dell'effettivo import.
Per esempio io potrei domani rilasciare "djang", un clone di django con
dentro codice malevolo, e fare in modo che l'utente lo possa usare
scrivendo "import django".
A questo punto basta che qualcuno si sbagli a scrivere "pip install django"
mancando l'ultima lettera che il mio codice malevolo sarebbe usato nel suo
software.

L'unico modo per essere sicurissimi di quel che si sta usando/scaricando da
PyPI è controllare su PyPI dove punta il link di download del progetto (di
solito GitHub o simili), e verificare sul repo del progetto il codice o le
referenze del progetto stesso "a occhio".


Il giorno 16 settembre 2017 15:06, Federico Pasqua <
federico.pasqua.96 a gmail.com> ha scritto:

> Pensavo ci fossero dei controlli anche solo superficiali su PyPI
>
> Il 16 set 2017 1:16 PM, "Enrico Bianchi" <enrico.bianchi a live.com> ha
> scritto:
>
>> http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/
>>
>>
>>
>> Enrico
>>
>> _______________________________________________
>> Python mailing list
>> Python a lists.python.it
>> https://lists.python.it/mailman/listinfo/python
>>
>>
> _______________________________________________
> Python mailing list
> Python a lists.python.it
> https://lists.python.it/mailman/listinfo/python
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.python.it/pipermail/python/attachments/20170916/da409817/attachment.html>