PyPI è un repository software di terze parti per pacchetti Python. Tutti possono caricare pacchetti su di esso (vedi Python Package Index (PyPI) ).
- In che modo PyPI impedisce alle persone di caricare malware?
- Quando cerco software, come posso essere (più) sicuro che non sia malware?
- Che cosa posso fare, come sviluppatore di pacchetti, per far sentire gli altri più sicuri usando i miei pacchetti?
- Esistono esempi "storici" di malware nei repository? Quanto danno hanno fatto?
Ho fatto la domanda per PyPI, ma sarei interessato anche a repository simili come npm (JavaScript) o < a href="https://packagist.org/"> compositore (PHP) .
Ho posto questa domanda per CTAN (tex) nella chat tex.SE. La risposta è stata che non ci sono misure di sicurezza. Si fidano delle persone / sviluppatori a non caricare malware.