有人往PyPI
上传了一些和标准库的名字很类似的模块。这些模块代码和标准库的相同,不过在 installation script 包含了一些"malicious (but relatively benign) code."
文末有PyPI
的官方申明,其中提到了他们并没有全职员工来维护,所以就算要解决这个问题估计也要很久。推荐听听Episode #64: Inside the Python Package Index来了解下PyPI
背后的故事。
1
hotsnow 2017-09-22 19:09:56 +08:00
那如何避免呢。。。
|
2
a87150 2017-09-22 19:12:42 +08:00 1
|
4
qq12345454 2017-09-22 19:14:33 +08:00
这个问题确实有些麻烦
|
5
HGladIator 2017-09-22 19:38:36 +08:00 via iPhone
记得有人这样钓过鱼,还分析了一下
|
6
Keyes 2017-09-22 19:59:47 +08:00 via Android
这些人太招人烦,又咬人又膈应人
|
7
yongzhong 2017-09-22 20:06:28 +08:00
还有一种 pip 投毒,也很恶心
|
8
scriptB0y 2017-09-22 20:15:21 +08:00 via iPhone
坑啊,只能小心点从官方复制粘贴了 自己打字都瑟瑟发抖
|
9
hduwzy 2017-09-22 21:22:24 +08:00
还有一种 pip 投毒,也很恶心
|
10
exiahan 2017-09-22 21:37:14 +08:00 via Android
系统上能管理包的只有发行版自带的包管理器,其他的什么 npm,pip 一律都不给 root,Python 的搞 virtualenv,装死了也不怕( ・∀・)
|
11
shiny 2017-09-22 21:46:14 +08:00
确实遇到过记错包名字的情况,比如多个 s
|
12
shiny 2017-09-22 21:47:10 +08:00 2
此外,如果写篇教程故意打错包名…… 细思极恐。
|
13
monsterxx03 2017-09-22 21:58:18 +08:00 via iPhone 1
生产环境的都统一做成 deb,放进自己的源的
|
16
exiahan 2017-09-22 22:54:07 +08:00 via Android
@abmin521 非要 global 安装那就没办法了。。我宁愿多装几次占点空间也不愿意让有 root 权限的包管理器超过两个。。
|
19
lrxiao 2017-09-22 23:14:35 +08:00
这居然修不好了
|
21
lybtongji 2017-09-23 10:54:29 +08:00
我倒是想问下 Linux 的包管理能在 non-root 模式下将程序安装在用户 home 目录中么?
|