Fala galera, comecei a me aventurar na linguagem Python e vi que tem muitos módulos para incrementar os programas…
É seguro baixar sem critério os módulos do pypi.org?
Se não, como posso verificar se algum módulo específico é seguro?
Não. No geral, os pacotes do pypi.org não são assinados nem muito menos passam por algum processo de garantia de segurança maior que o rotineiro cuidado dos desenvolvedores envolvidos que buscam, no melhor dos interesses, manter seus pacotes seguros.
Estes packagers, assim como npm e outros, tem esse problema razoavelmente sério de não serem assinados, como RPM e DEB ,infelizmente . No máximo você pode baixar versões zip de pacotes que a comunidade do projeto assina, em sites de projetos, verificar md5 disponibilizado por eles, etc, para tentar garantir a origem.
Os critério que você deve usar são:
- Não realizar instalação com privilégio. Use ambientes de desenvolvimento (conda, etc).
- Buscar não depender de pacotes não oficiais do Python para criar scripts que rodam com privilégio.
- Eu costumo averiguar os repositórios de bibliotecas e valorizo bibliotecas populares, com longa data de existência, pacotes saudavelmente ativos, etc, pacotes como por exemplo, pandas, matplotlib, numpy, etc.
O ideal seria usar contêineres isolados quando possível. Mas mais importante, o problema não é tão sério quanto parece, milhares de desenvolvedores em outras linguagens como java e javascript também se encontram nessa situação, eu suponho que a comunidade ter bom senso tem ajudado a evitar problemas maiores.
4 curtidas
Este tópico foi fechado automaticamente 3 dias depois da última resposta. Novas respostas não são mais permitidas.