È sicuro usare i gestori di pacchetti Python come pip, easy_install o conda?

8

So che non è sicuro installare il software (compresi i pacchetti Python) da fonti non affidabili o compromesse.

Tuttavia mi chiedo quanto sono sicuro quando installo un pacchetto attendibile dall'indice dei pacchetti Python o dal repository Anaconda (che considero anche affidabile).

I pacchetti in PyPI possono essere firmati da PGP, il che mi fa pensare che sia equo e sicuro per installare / aggiornali manualmente .

Tuttavia, non vi è alcuna verifica della firma automatica in pip e sembra che non ci sarà .

Mi chiedo quanto posso essere sicuro che non ci sia attacco MITM quando mi collego ai repository PyPI (o Anaconda) con pip , easy_install o conda ?

Suppongo che la connessione pip utilizzi almeno SSL con la verifica del certificato ( è noto che non riesce con errore SSL ), ma dato che pip ha utilizzato semplicemente HTTP come predefinito nel 2013 Sono piuttosto scettico su quanto sia rigoroso ad es in caso di CA radice attendibile (ad esempio se considera attendibile StartCOM e WoSign o meno).

Qualcuno sa quale livello di sicurezza ho quando decido di usare i gestori di pacchetti Python?

Aggiorna

La mia domanda riguarda la sicurezza dei client PyPI (e simili) e la loro connessione al server mentre Quali misure di sicurezza prendono PyPI e repository di software di terze parti simili? riguarda la possibilità di fidarsi dei pacchetti in PyPI. Nella mia domanda si presume che PyPI e i pacchetti sul sito del server siano attendibili.

    
posta abukaj 05.02.2018 - 11:46
fonte

1 risposta

3

Ho impostato MITM per pip su pypi.python.org e sembra che pip convalidi effettivamente il certificato. Fallisce con SSLError: [SSL: CERTIFICATE_VERIFY_FAILED]. Forse avrò più fortuna con altri repository ...

Pip potrebbe non controllare le firme dei gpg ma non è come se steste scaricando da fonti non attendibili. Ad esempio, i pacchetti Linux sono distribuiti su mirror in tutto il mondo, e senza gpg sarebbe molto probabile che alcuni di questi pacchetti sarebbero stati compromessi. Nel caso di PIP, l'unica fonte di download è pypi.python.org che utilizza Fastly CDN per la distribuzione anziché i mirror non attendibili.

Non conosco conda, mai usato.

    
risposta data 05.02.2018 - 14:57
fonte

Leggi altre domande sui tag