我已经完成了我的python 3应用程序,它正在使用PyPi中的多个公共模块。
但是,在我将其部署到我公司的企业中运行之前,该企业将处理客户的凭证并访问第三方API,我需要尽职尽责地确保它们既安全又安全。
我必须执行哪些步骤:
顺便说一句,Python 3应用程序将在Docker容器中运行。
谢谢
答案 0 :(得分:1)
这是3个单独的问题,所以:
您必须审核程序包(或让其他人这样做)才能知道它是否安全。没有简单的方法。
所有pypi包都附有md5签名(文件后括号中的链接)。他们中的一些还附加了pgp签名,这些签名出现在同一个地方,但是由作者决定他们是否已经发布。 (https://pypi.python.org/pypi/rpc4django例如包括md5和pgp)Md5验证完整性。 Pgp验证完整性和来源,因此在可用时它是更好的选择。
与任何其他签名一样多。
如果您担心该级别的依赖关系,我认为您应该考虑维护内部pypi存储库。它为您提供了更好的验证(在初次下载后只需自己签名,只接受您的签名)。它为您提供更好的可靠性和速度(如果pypi发生故障,您仍然可以构建软件)。并且它避免了您尚未审核/批准的已更换/更新包的问题。