[Python] skcsirt-sa-20170909-pypi
Federico Pasqua
federico.pasqua.96 a gmail.com
Sab 16 Set 2017 21:01:43 CEST
PyPI è un arma a doppio taglio praticamente :/
Conda fa qualche controllo sulle repo accessibili oppure anche li nisba
totale? Solo per chiedere
Il giorno 16 settembre 2017 19:00, Federico Cerchiari <
federicocerchiari a gmail.com> ha scritto:
> No, su PyPI non ci sono controlli di nessun tipo. Basta registrarsi con
> una qualsiasi mail ed è possibile registrare e uploadare un package.
> L'unico controllo è che non puoi registrare un package che ha lo stesso
> nome di un'altro registrato da un'altro utente.
>
> Un'altro vincolo è che registrare e uploadare packages su PyPI con twnie o
> setuptools non è così immediato, sono pieni di bug :D
>
> Il codice che finisce su PyPI non subisce nessun controllo. Neanche su
> similarità dei nomi o equivalenza dei nomi registrati su pypi con quelli
> dell'effettivo import.
> Per esempio io potrei domani rilasciare "djang", un clone di django con
> dentro codice malevolo, e fare in modo che l'utente lo possa usare
> scrivendo "import django".
> A questo punto basta che qualcuno si sbagli a scrivere "pip install
> django" mancando l'ultima lettera che il mio codice malevolo sarebbe usato
> nel suo software.
>
> L'unico modo per essere sicurissimi di quel che si sta usando/scaricando
> da PyPI è controllare su PyPI dove punta il link di download del progetto
> (di solito GitHub o simili), e verificare sul repo del progetto il codice o
> le referenze del progetto stesso "a occhio".
>
>
> Il giorno 16 settembre 2017 15:06, Federico Pasqua <
> federico.pasqua.96 a gmail.com> ha scritto:
>
>> Pensavo ci fossero dei controlli anche solo superficiali su PyPI
>>
>> Il 16 set 2017 1:16 PM, "Enrico Bianchi" <enrico.bianchi a live.com> ha
>> scritto:
>>
>>> http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/
>>>
>>>
>>>
>>> Enrico
>>>
>>> _______________________________________________
>>> Python mailing list
>>> Python a lists.python.it
>>> https://lists.python.it/mailman/listinfo/python
>>>
>>>
>> _______________________________________________
>> Python mailing list
>> Python a lists.python.it
>> https://lists.python.it/mailman/listinfo/python
>>
>>
>
> _______________________________________________
> Python mailing list
> Python a lists.python.it
> https://lists.python.it/mailman/listinfo/python
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.python.it/pipermail/python/attachments/20170916/bd17f186/attachment-0001.html>
Maggiori informazioni sulla lista
Python