So che non è sicuro installare il software (compresi i pacchetti Python) da fonti non affidabili o compromesse.
Tuttavia mi chiedo quanto sono sicuro quando installo un pacchetto attendibile dall'indice dei pacchetti Python o dal repository Anaconda (che considero anche affidabile).
I pacchetti in PyPI possono essere firmati da PGP, il che mi fa pensare che sia equo e sicuro per installare / aggiornali manualmente .
Tuttavia, non vi è alcuna verifica della firma automatica in pip
e sembra che non ci sarà .
Mi chiedo quanto posso essere sicuro che non ci sia attacco MITM quando mi collego ai repository PyPI (o Anaconda) con pip
, easy_install
o conda
?
Suppongo che la connessione pip
utilizzi almeno SSL con la verifica del certificato ( è noto che non riesce con errore SSL ), ma dato che pip ha utilizzato semplicemente HTTP come predefinito nel 2013 Sono piuttosto scettico su quanto sia rigoroso ad es in caso di CA radice attendibile (ad esempio se considera attendibile StartCOM e WoSign o meno).
Qualcuno sa quale livello di sicurezza ho quando decido di usare i gestori di pacchetti Python?
Aggiorna
La mia domanda riguarda la sicurezza dei client PyPI (e simili) e la loro connessione al server mentre Quali misure di sicurezza prendono PyPI e repository di software di terze parti simili? riguarda la possibilità di fidarsi dei pacchetti in PyPI. Nella mia domanda si presume che PyPI e i pacchetti sul sito del server siano attendibili.