python:PyPi公共模块:如何确定安全和安全?
我已经完成了我的python 3应用程序,它使用PyPi中的多个公共模块。
但是,在我将其部署到我公司的企业内部运行之前,我们将处理客户的凭证并访问第三方API,因此我需要尽职尽责,既安全又安全。
我必须执行哪些步骤:
- validationPyPi模块的安全性并安全使用,需要注意的是目标Python 3应用程序将处理证书?
- 什么是最推荐的方式来validationPyPi模块的签名?
- PyPi模块签名可信吗?
顺便说一下,Python 3应用程序将在Docker容器中运行。
谢谢
这是三个不同的问题,所以:
-
您必须审核该软件包(或者让其他人这样做)来确定它是否安全。 没有简单的方法。
-
所有pypi软件包都附有md5签名(链接在文件后面的括号内)。 其中一些还附加了在同一个地方出现的pgp签名,但是作者是否已经发布了。 ( https://pypi.python.org/pypi/rpc4django例如包括md5和pgp)Md5validation完整性。 PGPvalidation完整性和来源,所以这是一个更好的select,如果可用。
-
就像任何其他签名一样。
如果你担心这个级别的依赖,我认为你应该考虑维护你的内部pypi库。 它给你更好的validation(只需在初始下载后自行签名,只接受你的签名)。 它为您提供了更好的可靠性和速度(如果pypi出现故障,您仍然可以构build软件)。 而且它避免了您还没有审核/批准的replace/更新软件包的问题。