PyPI包名治理

Question

packages (PyPI)是一个公共存储库，似乎任何人都可以使用像twine这样的工具将包上传到它。该系统的开放性提出了一些问题：

1. 比如说，一个人/一个组织试图发布一个包，但是发现这个名字已经被取走了。PyPI如何解决这些情况？有没有招标机制？还是只是先到先得？
2. 假设有人试图发布一个广泛使用的重要包的恶意版本(比方说，sklearn)。sklearn的开发人员/维护人员如何防止这种情况发生？PyPI是否提供了任何机制来确保给定的包仅从经过验证的源中发布？

Answer 1

比如说，一个人/一个组织试图发布一个包，但是发现这个名字已经被取走了。PyPI如何解决这些情况？有没有招标机制？还是只是先到先得？

先到先得。除非该人对该名称拥有有效的商标要求，否则他们将需要将其包裹重命名为其他名称。(有一些程序可以回收已被放弃的项目的名称，但这可能需要一些时间。)

假设有人试图发布一个广泛使用的重要软件包的恶意版本(比如说，sklearn)。sklearn的开发人员/维护人员如何防止这种情况发生？PyPI是否提供了任何机制来确保给定的包仅从经过验证的源中发布？

PyPI上的每个项目都有一个或多个与其相关联的用户帐户，并且只允许这些帐户上载项目的文件。(当第一次创建项目时，上传初始文件的帐户将是唯一能够上载其他文件的帐户。该帐户然后可以指定具有上载权限的其他帐户。)保护这些帐户不受黑客攻击在很大程度上超出PyPI的范围。