就不遮掩了, 我就直说: 我不信任任何源, 不仅国内还有国外.
较好的情况:
比如一些包管理器, 元数据有签名, 包也有签名;
或者元数据从官方取, 包从源取, 元数据包含包的 hash 等信息用于验证;
次一点的:
比如包管理器, 包有签名, 元数据文件(比如包列表, 依赖信息等)没有签名;
似乎 archlinux 的 pacman 是这种?
最后就是:
啥验证也没有的...
比如上古版本的 archlinux 里的 pacman.
回到主题, pip 似乎也属于最后一种? 无条件信任 index 服务器?
另外还有 docker, npm 等等等等, 真的觉得心累, 不用源又几乎不可能.
很抱歉我用这样的心态看待这些源, 毕竟很多源是用爱发电.
但我无法忽视源的风险, 往坏的方向想, 源维护者作恶也不是没发生过 (具体事例我忘记了);
往好的方向想: 源被盯上的可能性不小, 因为影响面积很大, 一旦被攻击下来, 危害极大.
1
fuzzsh 2022-08-24 05:49:28 +08:00 via Android
不相信镜像还是不相信源?
按照信任的途径• 信任镜像才使用对方的服务 信任开发者才使用对方的程序 开发者也不信• review code 自己编译 包有签名又如何,每个包都去与开发者的签名比对?要搞破坏,中间人通过某些手段搞到签订,篡改了包重新签名还是一样 安全不是天秤 |
2
lusi1990 2022-08-24 08:49:55 +08:00 via Android
我也是 都是尽量使用官方源。反正梯子的流量非常充裕,不用白不用。改成国内源反而更费时
|
3
arch9999 2022-08-24 15:41:36 +08:00 via iPhone
那把恶意包直接上传到 pypi 呢?
|
4
Osk OP @fuzzsh 不相信源, 另外, 包的签名不是自动校验的吗, 被篡改会无效, 换成其它 gpg key 签也无法被包管理器信任
|
7
arch9999 2022-08-25 23:34:49 +08:00 via iPhone
不信任不用就可以了,还讨论啥
|
9
Osk OP pypi 国内太慢...
|
10
arch9999 2022-08-27 06:51:19 +08:00 via iPhone 1
目前的情况,你不信任第三方镜像,讨论这件事就已经没有意义了。
挂个代理正常安装就行了,你的信息安全连这点钱都不值吗。 如果你非要讨论这个: https://pip.pypa.io/en/stable/topics/secure-installs/ https://peps.python.org/pep-0458/ |