[既要也要] Python pip 用国内的源是否安全呢?

2022-08-24 01:04:33 +08:00
 Osk

就不遮掩了, 我就直说: 我不信任任何源, 不仅国内还有国外.


较好的情况:

比如一些包管理器, 元数据有签名, 包也有签名;

或者元数据从官方取, 包从源取, 元数据包含包的 hash 等信息用于验证;

次一点的:

比如包管理器, 包有签名, 元数据文件(比如包列表, 依赖信息等)没有签名;

似乎 archlinux 的 pacman 是这种?

最后就是:

啥验证也没有的...

比如上古版本的 archlinux 里的 pacman.


回到主题, pip 似乎也属于最后一种? 无条件信任 index 服务器?

另外还有 docker, npm 等等等等, 真的觉得心累, 不用源又几乎不可能.


很抱歉我用这样的心态看待这些源, 毕竟很多源是用爱发电.

但我无法忽视源的风险, 往坏的方向想, 源维护者作恶也不是没发生过 (具体事例我忘记了);

往好的方向想: 源被盯上的可能性不小, 因为影响面积很大, 一旦被攻击下来, 危害极大.

1138 次点击
所在节点    问与答
10 条回复
fuzzsh
2022-08-24 05:49:28 +08:00
不相信镜像还是不相信源?

按照信任的途径•
信任镜像才使用对方的服务
信任开发者才使用对方的程序
开发者也不信• review code 自己编译

包有签名又如何,每个包都去与开发者的签名比对?要搞破坏,中间人通过某些手段搞到签订,篡改了包重新签名还是一样


安全不是天秤
lusi1990
2022-08-24 08:49:55 +08:00
我也是 都是尽量使用官方源。反正梯子的流量非常充裕,不用白不用。改成国内源反而更费时
arch9999
2022-08-24 15:41:36 +08:00
那把恶意包直接上传到 pypi 呢?
Osk
2022-08-24 21:53:35 +08:00
@fuzzsh 不相信源, 另外, 包的签名不是自动校验的吗, 被篡改会无效, 换成其它 gpg key 签也无法被包管理器信任
Osk
2022-08-24 21:53:51 +08:00
@lusi1990 有些地方不能...
Osk
2022-08-24 21:54:36 +08:00
@arch9999 这是 pypi 的问题, 不在本贴讨论范围之内.

我担心的是源的安全性
arch9999
2022-08-25 23:34:49 +08:00
不信任不用就可以了,还讨论啥
Osk
2022-08-25 23:45:29 +08:00
@arch9999 pipy 国内太慢, 上源又有安全风险, 值得讨论
Osk
2022-08-25 23:46:03 +08:00
pypi 国内太慢...
arch9999
2022-08-27 06:51:19 +08:00
目前的情况,你不信任第三方镜像,讨论这件事就已经没有意义了。

挂个代理正常安装就行了,你的信息安全连这点钱都不值吗。

如果你非要讨论这个:

https://pip.pypa.io/en/stable/topics/secure-installs/
https://peps.python.org/pep-0458/

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/874937

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX