pip ha una modalità solo download (pip download), il controllo lo puoi
fare dopo il download con uno script e poi in caso positivo, fare
l'installazione.
Il 16/06/22 09:15, Federico Fissore ha scritto:
Ciao
Yuri wrote on 16/06/22 08:59:
In generale i pacchetti dovrebbero/possono avere una firma,
basterebbe controllare quella.
Se ti riferisci allo hash del pacchetto, ho provato a smanettare con
il parametro "--hash" di "pip install" ma non sono riuscito a farlo
funzionare
Il problema è che la mia libreria dipende da altre librerie, le cui
versioni sono specificate con un range (non sono "pinned"). Quindi
anche se la installo con
> mia-libreria==1.0.0 --hash=sha256:12345...
pip si arrabbia con
> In --require-hashes mode, all requirements must have their versions
pinned with ==
federico
_______________________________________________
Python mailing list
Python@lists.python.it
https://lists.python.it/mailman/listinfo/python
_______________________________________________
Python mailing list
Python@lists.python.it
https://lists.python.it/mailman/listinfo/python