豆瓣 pypi 源被污染

2016-12-25 22:45:46 +08:00

VicYu

今天突然脑出血，试试豆瓣源，发现有 https 了，挺好

但是，进去一下，吓死宝宝了！！

豆瓣 pypi 源被污染

图片： https://ooo.0o0.ooo/2016/12/25/585fdb3710f62.png

前面全是卖数据的，围观一下

https://pypi.doubanio.com/simple/

8129 次点击

所在节点

Python

32 条回复

RqPS6rhmP3Nyn3Tm

2016-12-26 03:56:14 +08:00

全球都被污染了，应该是官方源的问题
用了这么久 PyPi 我竟然还不清楚验证完整性的方式…如果是 Linux 源 GPG 信任链很严密那么丝毫不用担心。
谁能给我解答一下呢？关于 PyPi 和 homebrew 的验证方式

janxin

2016-12-26 05:30:14 +08:00

@BXIA homebrew 是 sha256 hash ，不过最开始的 rb 文件不对就没办法。 pypi 没仔细看过，好像也是类似 hash ，但使用第三方源都是没保证的

binux

2016-12-26 06:11:00 +08:00

@BXIA 这和完整性没什么关系啊， pypi 不审核包，你随时可以新建一个这样的包啊

而且这个明显是上游的问题， https://twitter.com/search?f=tweets&q=1-844-291-6706&src=typd pypi twitter bot 都有这些包的历史，只是上游删除了，下游同步没有跟着删除罢了

codeDreamfy

2016-12-26 09:03:16 +08:00

厉害了我的哥

whwq2012

2016-12-26 09:11:38 +08:00

这尼玛真是超级大的新闻啊，坐等新闻报道

monburan

2016-12-26 09:19:13 +08:00

坐等后续。。。

dudukee

2016-12-26 09:30:03 +08:00

已经清理掉了

50vip

2016-12-26 09:31:54 +08:00

围观~

est

2016-12-26 09:46:11 +08:00

pypi 官方被污染了吧。

其实注册 pypi 很容易。

everpcpc

2016-12-26 10:51:39 +08:00

https://pypi.doubanio.com/simple/ 已经强制重新同步了。

wlwood

2016-12-26 12:59:57 +08:00

我滴妈呀，一直使用豆瓣源，好像，昨天是有问题，我还以为是我网络出问题了

tairan2006

2016-12-26 15:45:34 +08:00

官方源出问题了吧=_=

第 2 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/330092

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.