本周早些时候,两个包含恶意代码的第三方Python模块已从官方软件存储库PyPI中删除。这两个恶意包使用非常相似的名称来混淆安装程序。它们伪装成dateutil和jellyfish包(前者用于处理datetime,后者用于字符串逼近等),分别命名为python-dateutil和jellyfish。如果你安装包的时候对这些模块不熟悉,又没有看官方文档,就很有可能中招。看,有人甚至不知道这是假的。安装后,python-dateutil和jeIlyfish的行为与原始软件包完全相同,但它们会偷偷将个人数据上传到服务器。然而,普通用户可能无法发现恶意模块的这些行为。Python库通常分为两种,一种是Python运行时自带的标准库,另一种是托管在PyPI上的第三方包。上传第三方包到PyPI时,大部分包是不会被审核的。这就导致在安装pip的时候,如果不小心输入了错误的单词,就可能安装恶意模块。这就引出了一个让很多开软社区都头疼的问题:如何让人们将自己的代码贡献到一个公共的存储库(比如PyPI)而不被恶意的人利用。据说Python软件基金会已经制定了一项计划来保护PyPI免受滥用,但要完全实施该计划还需要一些时间。此外,Python软件基金会的打包工作组已获得FacebookResearch的资助,用于开发自动检测恶意上传的第三方包的功能。但是,这些预防措施离上线还有很远的距离。我们在选择使用第三方模块的时候,一定要注意你的命令pipinstall是不是真正的模块,不是冒牌货,这样才能降低风险。最低。这是我们文章的结尾。如果你今天想要我们的Python教程,请继续关注我们。如果对您有帮助,请在下方点赞或观看。如果您有任何问题,可以在下方留言区留言。我们会耐心解答!Python实用词典(pythondict.com)不只是词典欢迎关注公众号:Python实用词典原文来自Python实用词典:Python谨防伪装成著名软件包的恶意模块
