可能在 Python 到 "import virus" 之间
Possible in Python to "import virus"
我已经在 Google 和 Whosebug 上搜索了这个,所以如果它存在于任何地方,我最诚挚的歉意。我(显然)是 Python 的新手,我最关心的是找到一个新模块来完成我遇到的任何新编程项目:
什么阻止模块(一旦导入)做一些邪恶的事情,例如在脚本执行时记录所有击键,然后通过电子邮件发送出去?
我是偏执狂吗?
这在 Python 中是不可能的吗?
有没有一个模块已经过代码审查的网站,人们可以放心地下载/安装它们?
我是否必须在每次下载时都阅读每个模块/子模块的代码以确保不会发生这种情况?
我目前在 Windows 8 上使用 Python 3.5.1 64 位,但我怀疑这是否相关。
没有什么能阻止它。这是开源软件的好处之一(在 "source code that I can view" 的最严格意义上):理论上,您可以在实际 运行 之前检查它以确切了解它的作用。
在实践中,您通常只是将某种程度的信任扩展到来源:
- 该模块是否被广泛使用,以至于其他人会首先发现或提到问题?
- 我的模块是从信誉良好的来源获得的吗?
- 我的副本的校验和是否与我的来源提供的校验和匹配?
如果这三个问题的答案都是肯定的,那么您可以假设该模块没有在您自己明确验证的情况下做任何可疑的事情。
我已经在 Google 和 Whosebug 上搜索了这个,所以如果它存在于任何地方,我最诚挚的歉意。我(显然)是 Python 的新手,我最关心的是找到一个新模块来完成我遇到的任何新编程项目:
什么阻止模块(一旦导入)做一些邪恶的事情,例如在脚本执行时记录所有击键,然后通过电子邮件发送出去?
我是偏执狂吗? 这在 Python 中是不可能的吗? 有没有一个模块已经过代码审查的网站,人们可以放心地下载/安装它们? 我是否必须在每次下载时都阅读每个模块/子模块的代码以确保不会发生这种情况?
我目前在 Windows 8 上使用 Python 3.5.1 64 位,但我怀疑这是否相关。
没有什么能阻止它。这是开源软件的好处之一(在 "source code that I can view" 的最严格意义上):理论上,您可以在实际 运行 之前检查它以确切了解它的作用。
在实践中,您通常只是将某种程度的信任扩展到来源:
- 该模块是否被广泛使用,以至于其他人会首先发现或提到问题?
- 我的模块是从信誉良好的来源获得的吗?
- 我的副本的校验和是否与我的来源提供的校验和匹配?
如果这三个问题的答案都是肯定的,那么您可以假设该模块没有在您自己明确验证的情况下做任何可疑的事情。