PIP 包是不是经过策划？安装它们安全吗？

Posted 2023-02-19

【中文标题】PIP 包是不是经过策划？安装它们安全吗？

【英文标题】：Are PIP packages curated? Is it safe to install them?PIP 包是否经过策划？安装它们安全吗？

【发布时间】：2016-11-09 05:37:54

【问题描述】：

对于 Debian 或 Ubuntu 软件包，有一些质量控制。 PIP 是相似的，还是完全免费的？任何人都可以以他们想要的任何名称上传他们想要的任何代码吗？

似乎有一些垃圾包，例如https://pypi.python.org/pypi/opencv/0.0.1，它与一个非常流行的计算机视觉框架同名。

【参考方案1】：

不，上传到 PyPI 的代码没有第三方检查（Python 包索引，这是 pip 下载包的地方，除非另有明确说明）。唯一的限制是，一旦存在包名，只有维护者可以上传具有该名称的包（即，您不能使用相同的名称向其他人的包提交恶意升级）。维护者有责任确保他们在 PyPI 上提供的任何内容不包含恶意软件，除非他们打算让它成为恶意软件，并且每个开发人员都应该知道他们使用 pip 下载的内容。

这已在research project investigating "typosquatting" 中被利用。研究人员将一些“模拟恶意软件”（大部分是无害的）上传到 PyPI，名称是流行包名称的拼写错误版本，以收集有关这些拼写错误的包的安装频率的数据。如果黑帽黑客做了同样的事情，他们可能会使用更多的恶意代码。

在同一主题上另见Security Stack Exchange question。

【讨论】：

总而言之，是的，已检测到库中存在一些恶意软件实例。更重要的是，除了用户自己的勤奋之外，没有任何针对恶意软件的保护措施。恕我直言，这意味着用户无法绝对保证他们正在使用的软件的安全性。墨菲说，如果能做到，已经做过一千次了。不幸的是，Python 的最大优势之一也被证明是它的致命弱点。

【参考方案2】：

5 年后添加到现有答案：

从 PyPI was in fact malware 下载了 30,000 次的软件：它窃取了信用卡号和登录凭据，并在受感染的机器上注入了恶意代码。