python: PyPi public modules: 如何判断安全与否?
python: PyPi public modules: How to determine if secure and safe?
我已经完成了我的 python 3 应用程序,它正在使用来自 PyPi 的多个 public 模块。
但是,在我将其部署到我公司企业内的 运行 之前,这将处理我们客户的凭据并访问第 3 方 API,我需要尽职调查确保它们既安全又安全。
我必须执行哪些步骤:
- 验证 PyPi 模块的安全性和使用安全性,重要的是要注意目标 Python 3 应用程序将处理凭据?
- 最推荐的验证 PyPi 模块签名的方法是什么?
- PyPi 模块签名是否可信?
顺便说一句,Python 3 应用程序将 运行安装在 Docker 容器中。
谢谢
这是 3 个独立的问题,因此:
您必须审核包裹(或让其他人这样做)才能知道它是否安全。没有简单的解决方法。
所有 pypi 包都附加了 md5 签名(link 在文件后的括号中)。其中一些还附加了显示在同一位置的 pgp 签名,但是否发布由作者决定。 (https://pypi.python.org/pypi/rpc4django 例如包括 md5 和 pgp) md5 验证完整性。 Pgp 验证完整性和来源,因此在可用时是更好的选择。
与任何其他签名一样多。
如果您担心该级别的依赖性,我认为您应该考虑维护您的内部 pypi 存储库。它为您提供了更好的验证(只需在初始下载后自己签署包并只接受您的签名)。它为您提供更好的可靠性和速度(如果 pypi 出现故障,您仍然可以构建软件)。它避免了您还没有 audited/approved 的替换/更新包的问题。
我已经完成了我的 python 3 应用程序,它正在使用来自 PyPi 的多个 public 模块。
但是,在我将其部署到我公司企业内的 运行 之前,这将处理我们客户的凭据并访问第 3 方 API,我需要尽职调查确保它们既安全又安全。
我必须执行哪些步骤:
- 验证 PyPi 模块的安全性和使用安全性,重要的是要注意目标 Python 3 应用程序将处理凭据?
- 最推荐的验证 PyPi 模块签名的方法是什么?
- PyPi 模块签名是否可信?
顺便说一句,Python 3 应用程序将 运行安装在 Docker 容器中。
谢谢
这是 3 个独立的问题,因此:
您必须审核包裹(或让其他人这样做)才能知道它是否安全。没有简单的解决方法。
所有 pypi 包都附加了 md5 签名(link 在文件后的括号中)。其中一些还附加了显示在同一位置的 pgp 签名,但是否发布由作者决定。 (https://pypi.python.org/pypi/rpc4django 例如包括 md5 和 pgp) md5 验证完整性。 Pgp 验证完整性和来源,因此在可用时是更好的选择。
与任何其他签名一样多。
如果您担心该级别的依赖性,我认为您应该考虑维护您的内部 pypi 存储库。它为您提供了更好的验证(只需在初始下载后自己签署包并只接受您的签名)。它为您提供更好的可靠性和速度(如果 pypi 出现故障,您仍然可以构建软件)。它避免了您还没有 audited/approved 的替换/更新包的问题。