これは非常に関連性の高い質問です。サードパーティのモジュールのセキュリティは、エンタープライズソフトウェア開発にとってもますます重要な問題です。
パッケージマネージャ自体のセキュリティが1つあります。セキュアなチャネル(ほとんどはhttps)を介してパッケージをダウンロードし、ダウンロード後、インストールする前に、ダウンロードしたパッケージを検証して、ホストまたはクライアントのいずれにも改ざんがないことを確認する必要があります。パッケージをインストールする場合は、パッケージのインストールスクリプトがインストールするユーザー(Linuxの場合はroot)で実行されるため、正しいパッケージ名を入力するように注意する必要があります。this researchなぜ脅威ですか?この応答を書いている時点では、記事はhereまたはhereです)。
もう1つは、インストールしたパッケージから追加するコードです。サードパーティのモジュールをアプリケーションに追加すると、パッケージを作成した人や組織が本質的に信頼されます。あなたはそれをしたいと思っていますが、あなたがインストールするパッケージを通してソフトウェアに脆弱性を追加するリスクがあります。もちろん、よく知られているパッケージは危険性が低いと思われますが、多くの人がよく知っていて使用しているのは、パッケージのセキュリティを保証するものではありません。
新しいパッケージを追加する際にデューデリジェンスとして実行できることは、既知の脆弱性が存在するかどうかをオンラインで確認することです。一般に、これらのタイプのクエリにはNVDのようなオンラインデータベースを使用することができますが、Python固有のデータベースはわかりません。
PythonやRubyのような言語の場合は、もちろん、パッケージのソースコードを見て脆弱性をチェックすることもできます。セキュリティコードの見直しは手間のかかるビジネスですが、セキュリティ上の欠陥を発見するのは容易ではないことがあります。
Pythonのほとんどのパッケージはおそらく大丈夫ですが、不明な作者のパッケージを使用すると、実際に深刻な脆弱性が導入される可能性があります。また、古いパッケージでは新しい脆弱性が発見される可能性があるので、パッケージをプロジェクトに追加する際にパッケージをチェックするだけでなく、特に既知の脆弱性がある場合(ただし、存在しない場合)、サードパーティのパッケージを定期的に更新する必要があります。
あなたが著者を信頼すれば、そうです。あなたがそれらを信用しないなら、おそらくいいえ。私が推測する他のソフトウェアと変わらない。 – cel
誰もがPyPIにパッケージをアップロードすることができます。そのため、彼らは何をすべきかを保証するものではありません。しかし、それとは対照的に、コードを読むことができるので、自分が行っていることを確認することができます。 – timakro
この質問はあなたの会社の経営陣に尋ねられるべきであるから話題にはならない。一般的なケースについて:質問は、[このトピックについて私はここで何を聞くことができますか?](// stackoverflow.com/help/on-topic)で定義されているように、このサイトに適した質問の範囲内にはありません。 [(stackoverflow.com/help/dont-ask)[別のStack Exchangeサイト](// stackexchange.com/sites#name)のヘルプを得ることができるかもしれません。 – Makyen