最近、私はgithubを調べて、 "pip install -r requirements.txt"を使ってインストールを続けました。今日、私は、私のアンチウイルスが許可を必要とするものを見つけました。疑わしいと感じたが、とにかくそれをインストールした。 pip install git+https://github.com/somethingピップインストールはコンピュータに悪影響を及ぼすことがありますか?
通常、コマンド "python something.py"はプログラムを実行し、結果を生成します。この特定のプログラムは、複製されたソースファイルを削除した後でも、独自のコマンドで実行されます。
私のコンピュータに何か悪意のあるものが入っていますか? Python/lib/packagesと/ scriptsへのアクセスが必要でした。私はそれを許可しました。 pipアンインストールで安全に削除されますか?
はい、pip installは、あなたのユーザーアクセスでリモートコードを実行します。ユーザーが管理者アクセスなしでコンピュータ上で行うことができるようなことが起こった可能性があります。
さて、プロジェクトの通常setup.pyファイルがちょうど(お使いのOSに応じて、必要に応じてbin/またはScripts/に、)あなたのPython site-packagesディレクトリにプロジェクトファイルをインストールするよりも、より多くの何もしませんが、コードが行うことができます何か、本当に。
ダウンロードするプロジェクトのsetup.pyを常に見てください。 setup()関数に渡された設定を変更するには、setup()呼び出しといくつかのインポート、おそらく何らかのプラットフォーム検出を見つける必要があります。
あなたのAVソリューションだけがlib/site-packagesとScriptsへのアクセスを報告した場合、あなたは問題ありません。インストールしたライブラリに悪意のあるトロイの木馬は一切含まれていません。 GitHub上で公開されているコードを使って、少なくとも大まかなチェックを行うことができます。
私の間違いは、親切なプログラマーだけがgithubにいると思うことでした。これらの人たちも不和チャンネルを運営しています。 readme.miのメッセージで、「セットアップに問題がある場合は私たちに参加してください」というメッセージが表示されます。立ち上げたら、コマンドを再実行するように求められます.Githubファイルをgithubファイルを短時間更新しますそのため、あなたのコンピュータにダウンロードされたものが置き換えられます。 – Hodor
@Hodor:GitHubの歴史はその変化を反映しています。彼らはそれを行うことができますが、予告なしにすることはできません。 –
一般に、よく使用されている多くの人が使用し、レビューしたパッケージに固執すると、安全であり、パッケージインストールスクリプトは問題ありません。
ただし、誤植に気を付ける必要があります。あなたのコンピュータ上で何かを行うことができますパッケージでpip中央リポジトリを妥協するのはとても簡単です...
は、より多くの詳細については、この興味深い記事を参照してください。http://incolumitas.com/2016/06/08/typosquatting-package-managers/
私は何かが起こった可能性があるので、私は自分のコンピュータをフォーマットする必要があるように感じる。それでもフォーマットはすべての疑念を取り除くでしょうか? – Hodor
この質問は*かなり漠然と文言*です。私はあなたに一般的な答えを与えました。クローンソースファイルを削除した後、githubに関する何かのプロジェクトや詳細なコマンドについては何も言えません。 –