Du bist nicht angemeldet.

#1 24.06.2019 20:25:36

CellXd
Gast

Python Packages aus Arch Repo und pip unterscheiden?

Gibt es eine Möglichkeit wie ich Python Pakete, die durch pip und solche die aus den Arch Repos installiert wurden, voneinander unterscheiden kann?
"pip list" listet mir alle Python Pakete auf, also die die ich mit pip installiert habe und die aus dem Arch Repo. Ist das nicht problematisch?

#2 25.06.2019 16:06:06

Photor
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Kurze Nachfrage: wenn ich also ein Python-Paket per pip nachinstallieren muss, dann mittels „pip -user“?

Ich meide es wie der Teufel das Weihwasser, irgendwas an pacman vorbei zu installieren, aber ich suche gerade Python-Pakete zum Rainflow-Counting und alles was zu finden ist, gibt es weder in den normalen Repos noch im AUR. Bleibt mir also gar nichts anderes übrig.

Ciao,
Photor

Offline

#3 25.06.2019 18:18:10

niemand
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Ich würde in dem Fall einfach ein Virtual Environment unterhalb von ~ erstellen, und den gewünschten Kram dort nach Belieben mit ›pip‹ installieren.

Offline

#4 25.06.2019 20:16:04

Photor
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Ok. Dann lese ich mich dazu mal ein.

Danke,
Photor

Offline

#5 26.06.2019 12:15:39

CellXd
Gast

Re: Python Packages aus Arch Repo und pip unterscheiden?

Danke, ich wusste nicht mal dass es virtual enviroments bei Python gibt. Echt eine coole Sache.

#6 26.06.2019 13:29:02

CellXd
Gast

Re: Python Packages aus Arch Repo und pip unterscheiden?

Wie benutzt man es denn sicher?

#7 26.06.2019 14:32:19

schard
Moderator

Re: Python Packages aus Arch Repo und pip unterscheiden?

Das Programm pip und auch virtualenv installieren Software aus dem Python Package Index (PIP).
Dieses zu nutzen ist genau so sicher, wie das AUR mir einem AUR-Helper (yay et.al.) zu nutzen ohne vorher die PKGBUILDs zu prüfen.
Es könnte die Software drin sein, welche man haben will, oder beliebige Malware. Es ist halt russisches Roulette.

Offline

#8 26.06.2019 16:09:24

CellXd
Gast

Re: Python Packages aus Arch Repo und pip unterscheiden?

Und wenn der Rechner eines Arch Repo Maintainers infiziert wird und mit seinen Zertifikaten eine Software mit Malware veröffentlicht wird?

#9 26.06.2019 16:21:17

schard
Moderator

Re: Python Packages aus Arch Repo und pip unterscheiden?

CellXd schrieb:

Und wenn der Rechner eines Arch Repo Maintainers infiziert wird und mit seinen Zertifikaten eine Software mit Malware veröffentlicht wird?

Da stellt sich die Frage, was wahrscheinlicher ist.

Offline

#10 26.06.2019 18:40:29

CellXd
Gast

Re: Python Packages aus Arch Repo und pip unterscheiden?

schard schrieb:
CellXd schrieb:

Und wenn der Rechner eines Arch Repo Maintainers infiziert wird und mit seinen Zertifikaten eine Software mit Malware veröffentlicht wird?

Da stellt sich die Frage, was wahrscheinlicher ist.

Wie oft gab es denn Fälle von Malware in pip Paketen? Oder auch im Aur? Eine ernst gemeinte Frage. Mir sind keine Fälle von denen berichtet wurde bekannt.
Wo man halt aufpassen muss ist dass man den richtigen Paketnamen tippt. Es kann schädliche Pakete geben die Namensähnlichkeiten ausnutzen.
Aber dass ein bisher sauberes Paket plötzlich Malware verseucht ist? Gab es das jemals?

#11 26.06.2019 18:56:59

niemand
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Oder auch im Aur?

Mit’m AUR gab’s da mal was. Musst mal suchen.

Offline

#12 26.06.2019 19:03:03

niemand
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Eigentlich hast du dein Bastelsystem ja eh in ’nem Container, und kannst tatsächlich „egal“ sagen. Oder hast du’s nicht so? wink

Offline

#13 26.06.2019 19:55:12

niemand
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Kein Argument für mich.

Tjo, dann wirst du halt von potentiell problematischeren Quellen (PIP, AUR et al) Abstand nehmen müssen.

Offline

#14 26.06.2019 20:24:02

CellXd
Gast

Re: Python Packages aus Arch Repo und pip unterscheiden?

Gerade für nicht compilierte Sprachen wie Python müsste es eigentlich intelligente Code Scans geben, die zumindest die Betreiber auf verdächtigen Code hinweisen.

#15 27.06.2019 18:14:00

omee
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

niemand schrieb:

Oder auch im Aur?

Mit’m AUR gab’s da mal was. Musst mal suchen.

War letztes Jahr ... https://www.pro-linux.de/news/1/26074/m … unden.html

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums