在蟒蛇虚拟环境中安装非python包(java更新、c++更新)安全吗？

Question

我在MacOS上运行蟒蛇，我有多个虚拟环境，适用于不同版本的Python、TensorFlow、Pytorch等。

最近，我试图安装Auto-Keras并从源代码构建Tensorflow (每个都在一个单独的虚拟环境中)，在这两种情况下，它都会要求我更新一堆C++内容(SWIG、gcc等)，以及其他一些东西，其中包括新的java版本，偶尔还会中途询问我的根密码。

对于Python风格的pip install <lib>，我一直认为在给定的虚拟环境中做我想做的任何事情都是安全的，因为它将依赖项和包包含在一起，并安装在其他虚拟环境中的整个要点不会被破坏。

但在这种情况下，我很担心，因为：

a)它们不是使用pip或conda安装的。

b)它一直要求我输入管理员密码并更改全局配置，如Java vision等。

除了python包之外，其他包是否像Python包在虚拟环境中一样被“容器化”？

如果不是，我会冒险升级C++、SWIG、Java等等吗？

Answer 1

首先，虚拟环境没有提供任何保护：)它只修改PATH环境变量。即使使用Python包，您也不会处于安全的沙箱中。pip install xxx将执行setup.py，这也可能引入恶意软件。

其次，是的，他们是在请求你的sudo许可，这肯定是危险的。但你仍然可以相信值得信任的人。毕竟，您仍然使用第三方操作系统，而不是自己创建它，对吧？