有没有办法强制pip检查包的md5哈希是否与我requirements文件中的哈希匹配?
所以我可以拥有一个requirements.txt文件,如:
drf-compound-fields==0.2.0 md5=999168ac0303c4ea781da9cf47f841c1
然后,如果为包提供了散列,pip将验证*.tar.gz(或其中的任何格式)文件的散列与其匹配。如果没有 - 它会拒绝安装它。
否则有人可能会破坏开发人员的系统并将恶意程序包版本上传到PyPI。
答案 0 :(得分:2)
peep包会根据您的要求添加哈希值。因此,如果您可以在第一次安装它们之后检查它们,那么哈希将负责检查您希望下载的包是pip(peep)是什么"真的"下载。
您的requirements.txt文件最终会显示如下内容:
# sha256: L9XU_-gfdi3So-WEctaQoNu6N2Z3ZQYAOu4-16qor-8
drf-compound-fields==0.2.0