查看原文

PyPI 上出现过钓鱼包，开发者可能只是输错了一个字符就导致安装了带了后门的包。被抓包是因为没做好 Python3 的兼容，不然可能还能潜伏更久。由于 PyPI 在最开始设计的时候就不做安全校验，任何人都可以将任何包丢到 PyPI 上，因此安全防护需要开发者自己格外小心。防范措施：安装包前一定要再三确认这个包是正确的包，另外不安装来自不信任源的包。