Python pip pakettien turvallisuus

[ilkant]

FaceBookissa oli python-koodi Ghost Eye. Se olisi tarvinnut pipillä asennettavaa pakettia csfstrafe. Tässä on vähän tietoa siitä paketista: How to Use cfscrape.

Kuinka tietoturvallisia ovat nuo pipillä asennettavat paketit? Onko niissä turvallisuuskontrollia kuten kännykkäsovellusohjelmalähteissä? Niidenkin sekaan on kyllä saatu ujutettua haittaohjelmia.

[nm]

cfscrape vaikuttaa luotettavalta projektilta. Sillä on GitHubissa 3500 tähteä ja aktiivinen yhteisö., joskaan ei aktiivista kehitystä. PyPI:ssä oleva versio on vuodelta 2020, joten siihen ei ole ainakaan viime päivinä ujutettu mitään haitallista.

Ghost Eye sen sijaan on huomattavasti epämääräisempi. En ehkä ajaisi sitä muuten kuin eristetyssä virtuaalikoneessa.

Yleisesti ottaen PyPI:n paketteihin on syytä suhtautua varauksella, koska sinne voi kuka tahansa ladata melkein mitä tahansa. Vahingollisiksi havaitut paketit poistetaan, mutta joskus se voi olla myöhäistä.