python 模块可以通过 pip(3) “phone home” 下载吗,还有你的 activity 日志?
Can python modules downloaded through pip(3) “phone home”, with logs of your activity?
我是否理解正确,确保最好的方法是检查模块的代码并亲自查看?
是。
当您通过 PIP 安装 Python 模块时,您正在安装这些模块中包含的所有代码。请注意,Python 模块不仅允许在 运行 时间执行代码,还允许在 also at install time 时间执行代码。为防止这种情况,仅使用 --only-binary :all: 标志安装二进制分发 Python wheels。这避免了在安装时执行任意代码(通过避免 setup.py)。
除此之外,您还可以通过以下方式帮助抵御恶意包:
- 使用
--user 标志与本地用户一起安装软件包。
- 并使用
--require-hashes 标志以散列检查模式安装包。
我是否理解正确,确保最好的方法是检查模块的代码并亲自查看?
是。
当您通过 PIP 安装 Python 模块时,您正在安装这些模块中包含的所有代码。请注意,Python 模块不仅允许在 运行 时间执行代码,还允许在 also at install time 时间执行代码。为防止这种情况,仅使用 --only-binary :all: 标志安装二进制分发 Python wheels。这避免了在安装时执行任意代码(通过避免 setup.py)。
除此之外,您还可以通过以下方式帮助抵御恶意包:
- 使用
--user标志与本地用户一起安装软件包。 - 并使用
--require-hashes标志以散列检查模式安装包。