V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Osk
V2EX  ›  问与答

[既要也要] Python pip 用国内的源是否安全呢?

  •  
  •   Osk · 2022-08-24 01:04:33 +08:00 · 1123 次点击
    这是一个创建于 822 天前的主题,其中的信息可能已经有所发展或是发生改变。

    就不遮掩了, 我就直说: 我不信任任何源, 不仅国内还有国外.


    较好的情况:

    比如一些包管理器, 元数据有签名, 包也有签名;

    或者元数据从官方取, 包从源取, 元数据包含包的 hash 等信息用于验证;

    次一点的:

    比如包管理器, 包有签名, 元数据文件(比如包列表, 依赖信息等)没有签名;

    似乎 archlinux 的 pacman 是这种?

    最后就是:

    啥验证也没有的...

    比如上古版本的 archlinux 里的 pacman.


    回到主题, pip 似乎也属于最后一种? 无条件信任 index 服务器?

    另外还有 docker, npm 等等等等, 真的觉得心累, 不用源又几乎不可能.


    很抱歉我用这样的心态看待这些源, 毕竟很多源是用爱发电.

    但我无法忽视源的风险, 往坏的方向想, 源维护者作恶也不是没发生过 (具体事例我忘记了);

    往好的方向想: 源被盯上的可能性不小, 因为影响面积很大, 一旦被攻击下来, 危害极大.

    10 条回复    2022-08-27 06:51:19 +08:00
    fuzzsh
        1
    fuzzsh  
       2022-08-24 05:49:28 +08:00 via Android
    不相信镜像还是不相信源?

    按照信任的途径•
    信任镜像才使用对方的服务
    信任开发者才使用对方的程序
    开发者也不信• review code 自己编译

    包有签名又如何,每个包都去与开发者的签名比对?要搞破坏,中间人通过某些手段搞到签订,篡改了包重新签名还是一样


    安全不是天秤
    lusi1990
        2
    lusi1990  
       2022-08-24 08:49:55 +08:00 via Android
    我也是 都是尽量使用官方源。反正梯子的流量非常充裕,不用白不用。改成国内源反而更费时
    arch9999
        3
    arch9999  
       2022-08-24 15:41:36 +08:00 via iPhone
    那把恶意包直接上传到 pypi 呢?
    Osk
        4
    Osk  
    OP
       2022-08-24 21:53:35 +08:00
    @fuzzsh 不相信源, 另外, 包的签名不是自动校验的吗, 被篡改会无效, 换成其它 gpg key 签也无法被包管理器信任
    Osk
        5
    Osk  
    OP
       2022-08-24 21:53:51 +08:00
    @lusi1990 有些地方不能...
    Osk
        6
    Osk  
    OP
       2022-08-24 21:54:36 +08:00
    @arch9999 这是 pypi 的问题, 不在本贴讨论范围之内.

    我担心的是源的安全性
    arch9999
        7
    arch9999  
       2022-08-25 23:34:49 +08:00 via iPhone
    不信任不用就可以了,还讨论啥
    Osk
        8
    Osk  
    OP
       2022-08-25 23:45:29 +08:00
    @arch9999 pipy 国内太慢, 上源又有安全风险, 值得讨论
    Osk
        9
    Osk  
    OP
       2022-08-25 23:46:03 +08:00
    pypi 国内太慢...
    arch9999
        10
    arch9999  
       2022-08-27 06:51:19 +08:00 via iPhone   ❤️ 1
    目前的情况,你不信任第三方镜像,讨论这件事就已经没有意义了。

    挂个代理正常安装就行了,你的信息安全连这点钱都不值吗。

    如果你非要讨论这个:

    https://pip.pypa.io/en/stable/topics/secure-installs/
    https://peps.python.org/pep-0458/
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2732 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 12:13 · PVG 20:13 · LAX 04:13 · JFK 07:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.