最近,我一直在探索github并使用“pip install -r requirements.txt”进行安装狂欢。今天,我遇到了一个需要我的防病毒软件才能获得许可的软件。感到很可疑,但无论如何我安装了它。 pip install git+https://github.com/something
通常,命令“python something.py”会执行程序并产生结果。即使在我删除了克隆的源文件之后,这个特定的程序也会使用自己的命令运行。
恶意的东西能进入我的电脑吗?它想要访问python / lib / packages和/ scripts并且我授予了它。 pip uninstall会安全地摆脱它吗?
答案 0 :(得分:0)
是的,pip install将使用您的用户访问权限执行远程代码;任何事情都可能发生在用户可以在没有管理员权限的情况下在您的计算机上进行的任何事情。
现在,通常项目的setup.py文件只会将项目文件安装到Python site-packages目录中(可选择安装到bin/}或Scripts/,取决于您的操作系统),但代码可以做任何事情,真的。
请务必查看您下载的项目的setup.py;你应该找到一个setup()调用以及一些导入和一些平台检测来改变传递给setup()函数的设置。
如果您的AV解决方案仅标记了对lib/site-packages和Scripts的访问权限,那么您应该没问题。如果您安装的库当然没有携带任何恶意木马。再次,在GitHub上公开显示代码,你应该能够给它至少一个粗略的检查,对吗?
答案 1 :(得分:0)
通常,当您坚持使用许多人使用和审核的众所周知的软件包时,您应该是安全的,并且软件包安装脚本不会造成任何伤害。
但是,你应该注意拼写错误。使用可在您的计算机上执行任何操作的软件包来破坏pip中央存储库非常容易......
有关详细信息,请参阅此有趣的文章:http://incolumitas.com/2016/06/08/typosquatting-package-managers/