pip ha una modalità solo download (pip download), il controllo lo puoi fare dopo il download con uno script e poi in caso positivo, fare l'installazione.

Il 16/06/22 09:15, Federico Fissore ha scritto:
Ciao

Yuri wrote on 16/06/22 08:59:
In generale i pacchetti dovrebbero/possono avere una firma, basterebbe controllare quella.


Se ti riferisci allo hash del pacchetto, ho provato a smanettare con il parametro "--hash" di "pip install" ma non sono riuscito a farlo funzionare

Il problema è che la mia libreria dipende da altre librerie, le cui versioni sono specificate con un range (non sono "pinned"). Quindi anche se la installo con

> mia-libreria==1.0.0 --hash=sha256:12345...

pip si arrabbia con

> In --require-hashes mode, all requirements must have their versions pinned with ==

federico
_______________________________________________
Python mailing list
Python@lists.python.it
https://lists.python.it/mailman/listinfo/python
_______________________________________________
Python mailing list
Python@lists.python.it
https://lists.python.it/mailman/listinfo/python

Rispondere a