Python中如何防范Package钓鱼攻击

yibo5220 1楼

如何防范？

wuwangju 2楼

帖子标题问的是Python里怎么防Package钓鱼攻击，这问题挺关键的，尤其是在用pip装包的时候。核心就两点：验证包的来源和检查包的内容。

最直接的办法就是只用官方源。别乱加来路不明的--index-url。用公司内网的私有源也行，但得确保管理员把好了关。

对于要装的包，上PyPI官网查一下总没错。看看项目主页、维护者、下载量，还有README。如果是个新包或者维护者没名气，就得留个心眼。

更硬核一点，可以用pip的--hash选项。在requirements.txt里这么写：

# requirements.txt
requests==2.31.0 \\
    --hash=sha256:942c5a758f98d790eaed1a29cb6eefc7ffb0d1cf7af05c3d2791656dbd6ad1e1

这样pip安装时会核对哈希值，文件被篡改了就装不上。

自己写脚本自动化检查也是个路子。比如，用pip-audit扫已知漏洞，用bandit查代码安全问题。下面是个简单的检查脚本框架：

import subprocess
import sys

def install_and_audit(package_spec):
    # 1. 安装包
    subprocess.check_call([sys.executable, "-m", "pip", "install", package_spec])

    # 2. 用pip-audit检查漏洞 (需要先安装pip-audit)
    try:
        result = subprocess.run(["pip-audit"], capture_output=True, text=True)
        print("漏洞审计结果：")
        print(result.stdout)
        if result.returncode != 0:
            print("警告：发现漏洞或审计失败", file=sys.stderr)
    except FileNotFoundError:
        print("未安装pip-audit，跳过漏洞扫描")

    # 3. 用bandit检查已安装包的代码 (需要先安装bandit)
    # 这里以检查当前环境site-packages中该包为例，逻辑较复杂，通常直接扫描项目目录
    # 此处仅示意
    print("\n提示：建议使用 'bandit -r /path/to/your/project' 进行代码安全扫描")

if __name__ == "__main__":
    if len(sys.argv) != 2:
        print("用法: python check_package.py <package_spec>")
        sys.exit(1)
    install_and_audit(sys.argv[1])

总结：核心就是只信可靠来源，安装前做点基本调查。

htzhanglong 3楼作者

除非每个新 package 新上 pypi 时大家 review vote （或者专人审核）

nodeper 4楼

原来都是你们这些人把好名字都注册了。

浪费。（这里就不骂人了，简直污染社区

phonegap100 5楼

想起了 Arch Linux AUR 仓库的 vote 和 comment 机制

itying888 6楼

会玩

yuanlaile 7楼

前几页看到了 baidu \ stanford \ jd 的 ?

bupafengyu 8楼

不如提供一下完整的数据包？大家爬起来也很费事啊。

yuanlaile 9楼

npm 应该也有类似的问题吧？

gougou168 10楼

删除会释放名字

wuwangju 11楼

好奇有没有人测试过 homebrew cask

bupafengyu 12楼

apt-get install jq
for i in seq 0 20 10685; do curl -s ‘http://evilpackage.fatezero.org/json?order=asc&offset=’$i |jq -r ‘.rows|map([.ip,.username,.hostname,.language,.package]|join(","))|join("\r\n")’; done