No, su PyPI non ci sono controlli di nessun tipo. Basta registrarsi con una qualsiasi mail ed è possibile registrare e uploadare un package. L'unico controllo è che non puoi registrare un package che ha lo stesso nome di un'altro registrato da un'altro utente.
Un'altro vincolo è che registrare e uploadare packages su PyPI con twnie o setuptools non è così immediato, sono pieni di bug :D Il codice che finisce su PyPI non subisce nessun controllo. Neanche su similarità dei nomi o equivalenza dei nomi registrati su pypi con quelli dell'effettivo import. Per esempio io potrei domani rilasciare "djang", un clone di django con dentro codice malevolo, e fare in modo che l'utente lo possa usare scrivendo "import django". A questo punto basta che qualcuno si sbagli a scrivere "pip install django" mancando l'ultima lettera che il mio codice malevolo sarebbe usato nel suo software. L'unico modo per essere sicurissimi di quel che si sta usando/scaricando da PyPI è controllare su PyPI dove punta il link di download del progetto (di solito GitHub o simili), e verificare sul repo del progetto il codice o le referenze del progetto stesso "a occhio". Il giorno 16 settembre 2017 15:06, Federico Pasqua < federico.pasqua...@gmail.com> ha scritto: > Pensavo ci fossero dei controlli anche solo superficiali su PyPI > > Il 16 set 2017 1:16 PM, "Enrico Bianchi" <enrico.bian...@live.com> ha > scritto: > >> http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/ >> >> >> >> Enrico >> >> _______________________________________________ >> Python mailing list >> Python@lists.python.it >> https://lists.python.it/mailman/listinfo/python >> >> > _______________________________________________ > Python mailing list > Python@lists.python.it > https://lists.python.it/mailman/listinfo/python > >
_______________________________________________ Python mailing list Python@lists.python.it https://lists.python.it/mailman/listinfo/python
