在 pip 安装期间检查包的哈希值
Check hash of the package during pip install
有没有办法强制 pip 检查包的 md5 哈希值是否与我的 requirements 文件中的匹配?
所以我可以有一个 requirements.txt 文件,例如:
drf-compound-fields==0.2.0 md5=999168ac0303c4ea781da9cf47f841c1
然后,如果为包提供了散列,pip 将验证 *.tar.gz(或任何格式)文件的散列与其匹配。如果不是——它将拒绝安装它。
否则有人可能会破坏开发人员的系统并将恶意包版本上传到 PyPI。
peep 包为您的要求添加了一个散列。因此,如果您可以在第一次安装后检查它们,那么哈希将负责检查您期望下载的包是否是 pip (peep) "really" 下载的包。
您的 requirements.txt 文件最终将如下所示:
# sha256: L9XU_-gfdi3So-WEctaQoNu6N2Z3ZQYAOu4-16qor-8
drf-compound-fields==0.2.0
有没有办法强制 pip 检查包的 md5 哈希值是否与我的 requirements 文件中的匹配?
所以我可以有一个 requirements.txt 文件,例如:
drf-compound-fields==0.2.0 md5=999168ac0303c4ea781da9cf47f841c1
然后,如果为包提供了散列,pip 将验证 *.tar.gz(或任何格式)文件的散列与其匹配。如果不是——它将拒绝安装它。
否则有人可能会破坏开发人员的系统并将恶意包版本上传到 PyPI。
peep 包为您的要求添加了一个散列。因此,如果您可以在第一次安装后检查它们,那么哈希将负责检查您期望下载的包是否是 pip (peep) "really" 下载的包。
您的 requirements.txt 文件最终将如下所示:
# sha256: L9XU_-gfdi3So-WEctaQoNu6N2Z3ZQYAOu4-16qor-8
drf-compound-fields==0.2.0