Récemment, il est venu des nouvelles de certains bibliothèques Malicious qui ont été téléchargés dans pypi (PyPI), voir:Vérification de l'intégrité des PyPI paquets Python
- Malicious libraries on PyPI
- Malicious modules found into official Python repository (ce lien contient la liste des paquets malveillants)
- Developers using malicious Python Modules
Je ne cherche pas à forwar d ces nouvelles mais j'essaye de m'empêcher moi et d'autres coéquipiers d'identifier si un paquet de PyPI n'a pas été changé par une partie externe.
Questions:
- Quelle sécurité contrôle dois-je utiliser une fois que je l'ai téléchargé un paquet de PyPI? MD5 ou une étape supplémentaire?
- La signature MD5 est-elle suffisante pour vérifier l'intégrité des paquetages Python?
Le typosquattage n'a rien à voir avec le hachage. Vous devez vérifier si c'est le paquet en amont que vous utilisez. –
Une autre question: Une fois que je télécharge un paquet et que je vois qu'il n'y a pas de typosquatting, la signature MD5 devrait-elle suffire à vérifier l'intégrité de ce paquet? –
pip doit vérifier la signature MD5, et il n'est pas facile (si possible) d'entrer en collision. EDIT: la nouvelle interface PyPI (pypi.io) a migré vers SHA256. –