PyPI è un arma a doppio taglio praticamente :/ Conda fa qualche controllo sulle repo accessibili oppure anche li nisba totale? Solo per chiedere
Il giorno 16 settembre 2017 19:00, Federico Cerchiari < federicocerchi...@gmail.com> ha scritto: > No, su PyPI non ci sono controlli di nessun tipo. Basta registrarsi con > una qualsiasi mail ed è possibile registrare e uploadare un package. > L'unico controllo è che non puoi registrare un package che ha lo stesso > nome di un'altro registrato da un'altro utente. > > Un'altro vincolo è che registrare e uploadare packages su PyPI con twnie o > setuptools non è così immediato, sono pieni di bug :D > > Il codice che finisce su PyPI non subisce nessun controllo. Neanche su > similarità dei nomi o equivalenza dei nomi registrati su pypi con quelli > dell'effettivo import. > Per esempio io potrei domani rilasciare "djang", un clone di django con > dentro codice malevolo, e fare in modo che l'utente lo possa usare > scrivendo "import django". > A questo punto basta che qualcuno si sbagli a scrivere "pip install > django" mancando l'ultima lettera che il mio codice malevolo sarebbe usato > nel suo software. > > L'unico modo per essere sicurissimi di quel che si sta usando/scaricando > da PyPI è controllare su PyPI dove punta il link di download del progetto > (di solito GitHub o simili), e verificare sul repo del progetto il codice o > le referenze del progetto stesso "a occhio". > > > Il giorno 16 settembre 2017 15:06, Federico Pasqua < > federico.pasqua...@gmail.com> ha scritto: > >> Pensavo ci fossero dei controlli anche solo superficiali su PyPI >> >> Il 16 set 2017 1:16 PM, "Enrico Bianchi" <enrico.bian...@live.com> ha >> scritto: >> >>> http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/ >>> >>> >>> >>> Enrico >>> >>> _______________________________________________ >>> Python mailing list >>> Python@lists.python.it >>> https://lists.python.it/mailman/listinfo/python >>> >>> >> _______________________________________________ >> Python mailing list >> Python@lists.python.it >> https://lists.python.it/mailman/listinfo/python >> >> > > _______________________________________________ > Python mailing list > Python@lists.python.it > https://lists.python.it/mailman/listinfo/python > >
_______________________________________________ Python mailing list Python@lists.python.it https://lists.python.it/mailman/listinfo/python
