नहीं, कोड पर कोई तीसरे पक्ष के जांच करता है कि PyPI (अजगर पैकेज सूचकांक, जहां पिप डाउनलोड संकुल जब तक स्पष्ट अन्यथा निर्देश दिए है) पर अपलोड की हैं। एकमात्र प्रतिबंध यह है कि पैकेज नाम मौजूद होने के बाद, केवल रखरखावकर्ता उस नाम के साथ पैकेज अपलोड कर सकते हैं (यानी आप उसी नाम का उपयोग करके किसी और के पैकेज में दुर्भावनापूर्ण अपग्रेड सबमिट नहीं कर सकते हैं)। यह सुनिश्चित करने के लिए रखरखाव पर निर्भर है कि जो कुछ भी वे पीपीपीआई पर उपलब्ध कराते हैं, में मैलवेयर नहीं होता है, जब तक कि वे इसे मैलवेयर नहीं लेते हैं, और यह प्रत्येक व्यक्तिगत डेवलपर पर निर्भर करता है कि वे पीआईपी का उपयोग करके डाउनलोड कर रहे हैं।
इसका उपयोग research project investigating "typosquatting" में किया गया है। शोधकर्ता ने पीईपीआई को उन नामों के तहत कुछ "सिमुलेशन मैलवेयर" (अधिकतर हानिरहित) अपलोड किया जो लोकप्रिय पैकेज नामों के गलत वर्तनी वाले संस्करण थे, ताकि इन गलत वर्तनी वाले पैकेजों को कितनी बार स्थापित किया जा सके। यदि ब्लैक-टोपी हैकर ने वही काम किया है, तो वे अधिक दुर्भावनापूर्ण कोड का उपयोग कर सकते थे।
इसी विषय पर यह Security Stack Exchange question भी देखें।
स्रोत
2016-07-07 06:04:18