python 里面的 pip 安装的软件都安全吗，有没有经过官方审核呀？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

推荐学习书目

› Learn Python the Hard Way

Python Sites

› PyPI - Python Package Index

› http://diveintopython.org/toc/index.html

› Pocoo

值得关注的项目

› PyPy

› Celery

› Jinja2

› Read the Docs

› gevent

› pyenv

› virtualenv

› Stackless Python

› Beautiful Soup

› 结巴中文分词

› Green Unicorn

› Sentry

› Shovel

› Pyflakes

› pytest

Python 编程

› pep8 Checker

Styles

› PEP 8

› Google Python Style Guide

› Code Style from The Hitchhiker's Guide

这是一个创建于 3578 天前的主题，其中的信息可能已经有所发展或是发生改变。

用pip从官方的软件市场里面安装的安全吗，经过官方审核了吗

比如 pip install XOXO

XOXO 是软件名字

这样的应该是在pip 官方备案过的，那么这种软件里面会不会有后门存在的可能性，官方会检查源码吗

第 1 条附言 · 2015-01-19 10:48:43 +08:00

结贴

pip

审核

xoxo

28 条回复 • 2015-01-19 20:42:58 +08:00

9hills

2015-01-18 13:47:40 +08:00 via iPhone

没有官方审核机制，因为没有人给审核员开工资

存在后门可能性，自行注意即可

mengzhuo

2015-01-18 13:51:25 +08:00

软件市场……你当是安卓啊
根本不是市场，最多叫官方源

源码不检查，你得自己看有没有后门

imn1

2015-01-18 13:57:15 +08:00

首先，虽然是第三方，但来自官网的
其次，基本上都是开源的，即使官方不检查（偷懒？），也会很多人会研究其中的代码，有问题肯定会爆出来
最后，发布人也是注册过的，可信度远高于其他

PS:不要理解为“软件市场”，那些不是“软件”，是模块，绝大部分 pip 安装的模块不能直接用，而是调用

thankyourtender

2015-01-18 13:57:39 +08:00

pip install ooxx

imn1

2015-01-18 14:15:14 +08:00

to all:
看着 LZ 的 nick 很熟，特意去看了一下他创建的主题，佩服，五体投地！

loading

2015-01-18 14:19:27 +08:00 via Android

@imn1 求详情

zjgood

2015-01-18 14:20:46 +08:00 via Android

@imn1 果真如此。。。

nine

2015-01-18 14:23:44 +08:00

@imn1 估计是个站长

RIcter

2015-01-18 14:34:32 +08:00 via iPad

@imn1 给跪了_(:з」∠)_

soiidseg

2015-01-18 15:20:35 +08:00

_(:з」∠)_

kaneg

2015-01-18 15:58:19 +08:00 via iPhone

在安装IDEA的插件时也担心过类似的问题，不过这些东西基本都是公开透明的（Java的很容易反编译的），群众的眼睛是雪亮的，就算有人使坏也只能是一时的

zzutmebwd

2015-01-18 16:25:41 +08:00 via Android

@imn1 哈哈哈block已久了，今天没登陆就又看到此人贴特地登上来是果然是他专门来秀技术的么也是蛮拼的233333

tini9

2015-01-18 16:40:09 +08:00

@imn1
@zjgood
@nine
@RIcter
@zzutmebwd

没感觉到不妥啊，感觉楼主很好学的，这年头愿意讨论技术的不多了

ihciah

2015-01-18 17:50:10 +08:00 via Android

@tini9 好学的孩纸都是未来的大神~~大学以前我也这么二过…………还好没在v2ex多混，不能删帖😂😂😂

limbo0

2015-01-18 18:07:55 +08:00

负责的告诉你,完全没有审核,全靠自觉

codegeek

2015-01-18 18:10:36 +08:00

安装官方的包不用担心吧

fdsfsdfsdf3334

2015-01-18 19:17:17 +08:00

@9hills
@mengzhuo
@imn1
@kaneg
@ihciah
@limbo0
@codegeek

谢谢

enotx

2015-01-18 22:45:50 +08:00

感觉和archlinux的aur一个道理，基本可信，但不排除里面混着屎
所以瞄一眼popularity之类的东西是很有必要的

rcmerci

2015-01-18 23:12:44 +08:00

貌似根本来不及审核啊。。。
随随便便就能上传一个package。。（比如我就传过＝＝）

whtsky

2015-01-18 23:38:39 +08:00 via iPhone

没有官方审核。
有一个包的名字叫 caoliu ，但是装了之后运行才发现他打开的不是草榴是百度…

chengzhoukun

2015-01-18 23:59:20 +08:00

@whtsky 哈哈哈哈哈哈哈哈哈

owlsec

2015-01-19 00:34:33 +08:00 via iPad

@imn1 哈哈哈哈

yangzh

2015-01-19 06:25:14 +08:00

不安全。没审核。

youyoumarco

2015-01-19 08:20:25 +08:00

都是开源的一些模块，要是存在后门的话，会有人说的，不过对于特殊应用还是需要谨慎点为好

jianghu52

2015-01-19 08:39:07 +08:00

装的都是源码，知名的包基本上都会被人翻来覆去的研究，别说后门了，你个变量起的不够严谨，都要被人喷。
但是一些很小众的包的话就说不好了。你要担心，只能自己去看源码了。

exiahan

2015-01-19 10:00:43 +08:00 via Android

@imn1 哈哈哈哈哈哈哈哈哈哈哈哈，Good job

fdsfsdfsdf3334

2015-01-19 10:36:01 +08:00

@jianghu52
@youyoumarco
@yangzh 谢谢

tolerious

2015-01-19 20:42:58 +08:00

没人检查