[既要也要] Python pip 用国内的源是否安全呢?

就不遮掩了, 我就直说: 我不信任任何源, 不仅国内还有国外.

较好的情况:

比如一些包管理器, 元数据有签名, 包也有签名;

或者元数据从官方取, 包从源取, 元数据包含包的 hash 等信息用于验证;

次一点的:

比如包管理器, 包有签名, 元数据文件(比如包列表, 依赖信息等)没有签名;

似乎 archlinux 的 pacman 是这种?

最后就是:

啥验证也没有的...

比如上古版本的 archlinux 里的 pacman.

回到主题, pip 似乎也属于最后一种? 无条件信任 index 服务器?

另外还有 docker, npm 等等等等, 真的觉得心累, 不用源又几乎不可能.

很抱歉我用这样的心态看待这些源, 毕竟很多源是用爱发电.

但我无法忽视源的风险, 往坏的方向想, 源维护者作恶也不是没发生过 (具体事例我忘记了);

往好的方向想: 源被盯上的可能性不小, 因为影响面积很大, 一旦被攻击下来, 危害极大.