V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐学习书目
Learn Python the Hard Way
Python Sites
PyPI - Python Package Index
http://diveintopython.org/toc/index.html
Pocoo
值得关注的项目
PyPy
Celery
Jinja2
Read the Docs
gevent
pyenv
virtualenv
Stackless Python
Beautiful Soup
结巴中文分词
Green Unicorn
Sentry
Shovel
Pyflakes
pytest
Python 编程
pep8 Checker
Styles
PEP 8
Google Python Style Guide
Code Style from The Hitchhiker's Guide
kunimi
V2EX  ›  Python

以后使用`pip install`命令的时候要小心了

  •  
  •   kunimi · 2017-09-22 17:56:58 +08:00 · 6555 次点击
    这是一个创建于 2652 天前的主题,其中的信息可能已经有所发展或是发生改变。

    有人往PyPI上传了一些和标准库的名字很类似的模块。这些模块代码和标准库的相同,不过在 installation script 包含了一些"malicious (but relatively benign) code."

    原文链接: https://arstechnica.com/information-technology/2017/09/devs-unknowingly-use-malicious-modules-put-into-official-python-repository/

    文末有PyPI的官方申明,其中提到了他们并没有全职员工来维护,所以就算要解决这个问题估计也要很久。推荐听听Episode #64: Inside the Python Package Index来了解下PyPI背后的故事。

    21 条回复    2017-09-23 10:54:29 +08:00
    hotsnow
        1
    hotsnow  
       2017-09-22 19:09:56 +08:00
    那如何避免呢。。。
    a87150
        2
    a87150  
       2017-09-22 19:12:42 +08:00   ❤️ 1
    Cooky
        3
    Cooky  
       2017-09-22 19:13:30 +08:00 via Android
    @hotsnow 完全按照官方的安装步骤来
    qq12345454
        4
    qq12345454  
       2017-09-22 19:14:33 +08:00
    这个问题确实有些麻烦
    HGladIator
        5
    HGladIator  
       2017-09-22 19:38:36 +08:00 via iPhone
    记得有人这样钓过鱼,还分析了一下
    Keyes
        6
    Keyes  
       2017-09-22 19:59:47 +08:00 via Android
    这些人太招人烦,又咬人又膈应人
    yongzhong
        7
    yongzhong  
       2017-09-22 20:06:28 +08:00
    还有一种 pip 投毒,也很恶心
    scriptB0y
        8
    scriptB0y  
       2017-09-22 20:15:21 +08:00 via iPhone
    坑啊,只能小心点从官方复制粘贴了 自己打字都瑟瑟发抖
    hduwzy
        9
    hduwzy  
       2017-09-22 21:22:24 +08:00
    还有一种 pip 投毒,也很恶心
    exiahan
        10
    exiahan  
       2017-09-22 21:37:14 +08:00 via Android
    系统上能管理包的只有发行版自带的包管理器,其他的什么 npm,pip 一律都不给 root,Python 的搞 virtualenv,装死了也不怕( ・∀・)
    shiny
        11
    shiny  
       2017-09-22 21:46:14 +08:00
    确实遇到过记错包名字的情况,比如多个 s
    shiny
        12
    shiny  
       2017-09-22 21:47:10 +08:00   ❤️ 2
    此外,如果写篇教程故意打错包名…… 细思极恐。
    monsterxx03
        13
    monsterxx03  
       2017-09-22 21:58:18 +08:00 via iPhone   ❤️ 1
    生产环境的都统一做成 deb,放进自己的源的
    abmin521
        14
    abmin521  
       2017-09-22 22:34:54 +08:00 via Android
    @exiahan npm -g 必须 sudo 吧
    zonghua
        15
    zonghua  
       2017-09-22 22:42:06 +08:00
    @exiahan 执行个`rm -rf / `
    exiahan
        16
    exiahan  
       2017-09-22 22:54:07 +08:00 via Android
    @abmin521 非要 global 安装那就没办法了。。我宁愿多装几次占点空间也不愿意让有 root 权限的包管理器超过两个。。
    exiahan
        17
    exiahan  
       2017-09-22 22:54:48 +08:00 via Android
    @zonghua 你来吧,搞完了记得手机拍个照( ・ิω・ิ)
    lrxiao
        18
    lrxiao  
       2017-09-22 23:14:02 +08:00
    emmm 最近刚看到 rust 瞬间修复了 crates.io 的包隐含恶意代码的信息
    lrxiao
        19
    lrxiao  
       2017-09-22 23:14:35 +08:00
    这居然修不好了
    rashawn
        20
    rashawn  
       2017-09-22 23:27:35 +08:00 via iPhone
    @abmin521 不用啊 随便安在个什么地方就可以
    lybtongji
        21
    lybtongji  
       2017-09-23 10:54:29 +08:00
    我倒是想问下 Linux 的包管理能在 non-root 模式下将程序安装在用户 home 目录中么?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3232 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 13:02 · PVG 21:02 · LAX 05:02 · JFK 08:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.