15
使用--allow-external或--allow-all-externals選項pip的安全考慮因素是什麼?`pip --allow-external`的安全考慮因素
描述這些選項的文檔部分(pip install,pip wheel)非常簡潔,並沒有解釋使用它們的危險。我也無法在因特網上找到任何資源。
A
回答
23
我在FreeNode #pip頻道上提問了這個問題。以下是我對那裏答覆的解釋。感謝和dstufft從#pip回答我的問題。直接
PyPI上:
包可以PyPI上的三種不同的方式來維持。如果軟件包託管在PyPI上,則不需要額外的開關來安裝它。連接到PyPI由HTTPS保護,因此下載被認爲是可信的。
在外部網站上,PyPI存儲相關文件的安全校驗和。在這種情況下,
pip需要--allow-external開關繼續。雖然下載可能來自不安全的服務器,但下載的文件會根據存儲在PyPI上的安全校驗和進行檢查。因此,這種情況也被認爲是安全的。在外部站點上,沒有PyPI存儲任何校驗和。在這種情況下,無法確保下載安全。
--allow-external是不足以啓用安裝在這種情況下,pip要求--allow-unverified。
因此,單獨--allow-external被認爲是安全開關,並且只使用--allow-unverified是一個潛在的安全問題。這也是爲什麼pip有--allow-all-external選項,但沒有--allow-all-unverified。
作爲一個附註,--allow-external不是作爲安全功能引入的,而是由於在處理第三方網站時可能的速度,正常運行時間和便利問題。
相關問題
- 1. 乳膠安全考慮
- 2. 火花安全考慮
- 3. 在開發書籤時需要考慮什麼樣的設計和安全考慮因素?
- 4. 將asp.net應用程序移植到單聲道時的安全考慮因素
- 5. 爲手機開發應用程序時的數據庫安全考慮因素
- 6. ng升級性能考慮因素
- 7. C#火和忘記考慮因素
- 8. MQTT vs MQ設計考慮因素
- 9. Webservice:考慮設計和安全考慮事項?
- 10. 包含文件時的安全考慮
- 11. AWS Rds安全組設置考慮
- 12. Dojo:主題vs事件,應考慮哪些設計考慮因素?
- 13. 完全不考慮父元素邊框的位置元素
- 14. 長時間運行的PHP腳本的內存考慮因素
- 15. 同一端口上大量連接的性能考慮因素
- 16. Spring Cloud,Spring Data Redis和Eureka的生產考慮因素
- 17. WPF顏色 - 可訪問性的考慮因素?
- 18. asp.net webapi控制器的設計考慮因素
- 19. 設計控制檯應用程序的架構考慮因素?
- 20. 集羣中的混合AMD和Intel節點......考慮因素?
- 21. iOS中的數據模型持久性考慮因素
- 22. 使用第三方罐子 - 要考慮的因素
- 23. 考慮因素的隨機數函數累計頻率
- 24. 需要了解考慮所有的主要制約因素
- 25. 在從表中刪除列之前要考慮的因素
- 26. 桌面應用程序對象的設計考慮因素
- 27. 高流量門戶網站的架構考慮因素
- 28. 在iframe中顯示pdf的環境考慮因素
- 29. 使用Amazon SimpleDB的性能考慮因素是什麼?
- 30. 採集因素考慮下面的數據集特徵向量