个人中心
文章发布
退出
作者热门文章
- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
28
4
问题是,如何在 Ubuntu Trusty 上使用 pip 安全地安装软件包?当然,我需要澄清为什么我认为它不安全。
urllib3 在 Python 2.7.9 之前,如果您在没有安装一些额外的 openssl 相关 python 库的情况下发出 https 请求,则会给出 InsecurePlatformWarning。这是一个完善的问答:
问题是,如果你安装 pip 版本 6 左右,它会开始给你这个警告,当你安装任何东西时。从阅读问题的官方答案:
https://urllib3.readthedocs.org/en/latest/security.html#pyopenssl
听起来问题出在 Python ssl 库上。 Pip 是不是刚从最新版本的 openssl 切换到 Python ssl 库?我的猜测(也许是一个错误的猜测)是 pip 之前使用了 Python 库,它只是使用了一个甚至没有给出警告的旧版本的 urllib。所以它一直都是不安全的(尽管特别令人担忧的漏洞似乎最近才出现)。
好吧,如果是这种情况,那么 Ubuntu 上的 pip 库存版本是不安全的。我不能用它来安全地安装东西以确保安全。没关系,我可以从 Ubuntu 的 repo 安装相同的东西,它使用 GPG 验证包:
http://packages.ubuntu.com/search?keywords=python-ndg-httpsclient
除了以上仅在 Utopic 中可用。在 Trusty 上,我似乎被卡住了。
那到底是怎么回事呢?我是否必须掷骰子并不安全地安装这些东西一次,然后才安全地使用 pip?还是我完全误解了情况?
最佳答案
pip 默认使用标准库 ssl 模块(除非您还安装了您提到的额外库)。在 Python 2.7.9 和 Python 3.2(ish,我相信它是 3.2,可能是 3.1)之前,标准库中的 ssl 模块缺乏控制与 ssl 相关的某些设置的能力。
其中一些设置:
至于你应该做什么,这真的取决于你。如果你是从 PyPI 本身安装的,那么很多这些东西都无关紧要,因为我们在服务器端禁用它们而不是依赖客户端来实现它们。但是请求(底层库 pip 用于访问存储库)会引发这些警告(并且 pip 不会使它们静音),因为 PyPI 通常不是您要连接的唯一位置,而这些其他位置可能会或可能不会占用与 PyPI 具有相同的预防措施。
来源:我是 PyPI 的核心 pip 开发者和管理员。
关于python - 如何在 Ubuntu Trusty 上安全地使用 pip(带 SSL)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29572161/
28
4
0
在我的 java 代码中,我做了类似的事情: int sleep = 0; sleep(sleep); sleep++; 被bos指出不好。它不能在 php 中正常工作。 在 java 中使用上述代码
我有一个程序使用第 3 方库进行一些计算,我在与主应用程序不同的线程上启动该程序。不幸的是,此计算可能需要很长时间,并且不提供进度更新和取消的接口(interface)。 为了拥有这样的界面,我想创建
C++ 是否有任何等效于 python 的函数 os.path.join?基本上,我正在寻找将文件路径的两个(或多个)部分组合在一起的东西,这样您就不必担心确保这两个部分完美地结合在一起。如果它在 Q
我正试图站起来(非商业)web application使用 neo4j Community 3.5.2 作为后端。 应用程序以两种方式与图形交互: 服务器端(安全的)用 flask 编写新的节点和关系
我正在开发一个将有许多外部用户的在线应用程序。至于现在,我的连接方法是为所有用户托管一个中央数据库,而他们从自己的服务器文件连接。 方法: PHP 连接文件(托管在他们的服务器上;文件由我提供) >>
我创建了一个将所有事件通知代码转换为字符串的函数。真的很简单。 我有一堆常量,比如 const _bstr_t DIRECTSHOW_MSG_EC_ACTIVATE("A video window i
我想将(附加)信息从过滤器传递到资源。我目前尝试这样做的方式是,在 Filter 中: getContext().getAttributes().put("additionalInformation"
我想计算转换系数。为此,我必须除以例如的最大值。 ushort 为 uchar 的最大值。 我想通过将参数传递给函数或类型名来动态地执行此操作。然后我想选择最大值并执行计算。 有两个问题: 如何动态选
我希望我的用户在用 Java 请求列表时能够编写自己的过滤器。 选项 1) 我正在考虑将 JavaScript 与 Rhino 结合使用。 我将用户的过滤器作为 javascript 字符串获取。然后
(安全地)提供来自不同域的图像是否符合 PCI 标准?我搜索了 PCI DSS 2.0 PDF,但没有找到任何引用资料。 最佳答案 图像不符合 PCI 合规性。 PCI DSS covers the
我们正在将 spring 和 hibernate 用于 web 应用程序:该应用程序有一个购物车,用户可以在其中放置商品。为了保存不同登录名之间要查看的项目,购物车中的项目值存储在表中。提交购物车时,
我正在为多个客户创建一个具有电子商务元素的 Rails 应用程序 - 我希望这些客户能够在管理区域中指定计算运费的公式;因为方法可能不同。 让我们假装一下,我允许他们输入 ruby 代码,然后我稍
我正在 Eclipse 中开发一个 Java 项目,使用 Maven 构建和管理依赖项。该项目分布在 5 个 Eclipse 项目中,其中一个是父 POM。我正在研究基于另一个团队实现的更复杂服务器的
我想在 ADO.NET 数据服务中存储每线程数据。在线程特定的静态变量上使用 ThreadStatic 属性是否安全,或者我会遇到问题吗?我担心的是,我的 ThreadStatic 变量在请求完成并且
Stackoverflow 上至少有一篇与此主题相关的帖子:Generate password in python 你会发现这个主题甚至在 PEP 中也受到了一些批评。这里提到:https://www
对于我工作中的一个项目,我需要创建一个独立的 Python 安装(来自源代码)。然而,完整的目录占用大约 90MB 的磁盘空间,虽然不多,但太多了,无法一遍又一遍地复制。 我可以从自定义 python
例如,我有一张学生表,我有一本 Python 字典 mydict = {"fname" : "samwise", "lname" : "gamgee", "age" : 13} 我怎样才能安全地生成一
我经常在代码中遇到使用 memset 手动零初始化的 POD 结构,如下所示: struct foo; memset(&foo, 0, sizeof(foo)); 我检查了 C++11 标准,它说:“
我是一名优秀的程序员,十分优秀!