برای همه دوستان چه تازه کار چه حرفهای (که نحوه عملکرد رو نمیدونند)
هرچیزی رو pip install نزنید
هر پکیجی رو استفاده نکنید
این جمله ادامه داره : “برای هر چیزی توی پایتون ی پکیج وجود داره” بله وجود داره ولی ادامهاش مهمتره (شما حق نصبش رو ندارید.
انقدر ادامه این جمله استفاده نشده که چندسالی هست ما توی شرکت از Docker و … برای حتی محیط توسعه استفاده میکنیم (به لطف vscode که دیگه راحتتر هم شده)
دلیل خوبی هم داریم :
pip (pypi.org)
هیچ چک امنیتی روی کدها نداره و شما هرچیزی رو میتونید بعنوان پکیج ارسال کنید
برای همین نباید از هر کتابخونهای استفاده کنید.
اگر کتابخونه معروف نیست (چندنفر توسعه دهنده نداره) حتما سورس کدهاش رو بخونید و ترجیحا خودتون به اندازه نیاز بازنویسی کنید؛ یا اینکه روی همون ورژن خاصی که بررسی کردید بمونید و در زمان نیاز به آپدیت پکیج سورس نسخه جدید رو مجددا بررسی کنید.
(این شرایط برای باقی زبانهای این تیپی هم وجود داره)
خلاصه که ی پکیج میتونه شامل :
Keylogger, Trojan, ….
هم باشه؛ در صورت نفوذ دولوپر شخصی هست که باید پاسخگو باشه.
منبع: https://t.me/pytens