使用Debian或Ubuntu软件包,有一些质量控制。 PIP是相似的,还是完全免费的?任何人都可以用他们想要的任何名称上传他们想要的任何代码吗?
似乎有一些像https://pypi.python.org/pypi/opencv/0.0.1这样的垃圾软件包与一个非常流行的计算机视觉框架同名。
答案 0 :(得分:19)
不,没有第三方检查上传到PyPI的代码(Python包索引,除非另有明确说明,否则pip下载包)。唯一的限制是,一旦包名存在,只有维护者可以上传具有该名称的包(即,您不能使用相同的名称向其他人的包提交恶意升级)。维护人员应确保PyPI上提供的任何内容都不包含恶意软件,除非他们打算将其作为恶意软件,并且每个开发人员都应该知道他们正在使用pip下载什么
这已在research project investigating "typosquatting"中被利用。研究人员上传了一些模拟恶意软件" (通常是无害的)PyPI,名称是拼写错误的流行软件包名称,以收集有关这些拼写错误的软件包的安装频率的数据。如果一个黑帽黑客做了同样的事情,他们可能会使用更多的恶意代码。
有关同一主题,请参阅此Security Stack Exchange question。