python: PyPi公共模块:如何确定是否安全可靠？

Question

我已经完成了我的python 3应用程序，它正在使用来自PyPi的多个公共模块。

但是，在我将其部署到我公司的企业内运行之前，我需要尽职调查，确保它们既安全又安全，这将处理我们客户的凭据和访问第三方API。

我必须执行哪些步骤：

1. 验证PyPi模块的安全性和安全使用，注意目标Python3应用程序将处理凭据是很重要的？
2. 最推荐的验证PyPi模块签名的方法是什么？
3. PyPi模块签名可以信任吗？

顺便说一下，Python 3应用程序将在Docker容器中运行。

谢谢

Answer 1

这是三个单独的问题，因此：

1. 您必须对包进行审计(或者让其他人这样做)，才能知道它是否安全。不容易绕过它。
2. 所有pypi包都附加了md5签名(文件后面括号中的链接)。他们中的一些人还附加了pgp签名，该签名出现在同一个地方，但是否发布取决于作者。(例如，https://pypi.python.org/pypi/rpc4django包括md5和pgp) Md5验证完整性。Pgp验证完整性和原点，因此在可用时是一个更好的选择。
3. 和其他签名一样多。

如果您担心该级别的依赖关系，我认为您应该考虑维护内部pypi存储库。它为您提供了更好的验证(只需在初始下载后自己签名，并且只接受您的签名)。它给您更好的可靠性和速度(您仍然可以构建软件，如果pypi下降)。它还避免了您尚未审核/批准的替换/更新包的问题。