#1 24.06.2019 20:25:36

CellXd
Gast

Python Packages aus Arch Repo und pip unterscheiden?

Gibt es eine Möglichkeit wie ich Python Pakete, die durch pip und solche die aus den Arch Repos installiert wurden, voneinander unterscheiden kann?
"pip list" listet mir alle Python Pakete auf, also die die ich mit pip installiert habe und die aus dem Arch Repo. Ist das nicht problematisch?

#2 24.06.2019 20:51:19

TBone
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Problematisch ist das nur, wenn du Sachen vermischt. Wenn du alles sauber mit pip install --user oder direkt in ein virtualenv installierst, ist das kein Problem. Installierst du die Sachen dahin, wo pacman dafür verantwortlich ist, hast du ein Problem, ergo, problematisch.

Offline

#3 25.06.2019 16:06:06

Photor
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Kurze Nachfrage: wenn ich also ein Python-Paket per pip nachinstallieren muss, dann mittels „pip -user“?

Ich meide es wie der Teufel das Weihwasser, irgendwas an pacman vorbei zu installieren, aber ich suche gerade Python-Pakete zum Rainflow-Counting und alles was zu finden ist, gibt es weder in den normalen Repos noch im AUR. Bleibt mir also gar nichts anderes übrig.

Ciao,
Photor

Offline

#4 25.06.2019 18:18:10

niemand
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Ich würde in dem Fall einfach ein Virtual Environment unterhalb von ~ erstellen, und den gewünschten Kram dort nach Belieben mit ›pip‹ installieren.

Offline

#5 25.06.2019 19:04:59

TBone
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Jup, ich würde auch ein venv bevorzugen.

Offline

#6 25.06.2019 20:16:04

Photor
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Ok. Dann lese ich mich dazu mal ein.

Danke,
Photor

Offline

#7 26.06.2019 12:15:39

CellXd
Gast

Re: Python Packages aus Arch Repo und pip unterscheiden?

Danke, ich wusste nicht mal dass es virtual enviroments bei Python gibt. Echt eine coole Sache.

#8 26.06.2019 13:23:31

TBone
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Ja, coole Sache, wird nur meistens von vielen Menschen "unsicher" benutzt. (Kein Hash-/Signaturen-Überprüfung auf kompromittierte Pakete)

Offline

#9 26.06.2019 13:29:02

CellXd
Gast

Re: Python Packages aus Arch Repo und pip unterscheiden?

Wie benutzt man es denn sicher?

#10 26.06.2019 14:32:19

schard
Moderator

Re: Python Packages aus Arch Repo und pip unterscheiden?

Das Programm pip und auch virtualenv installieren Software aus dem Python Package Index (PIP).
Dieses zu nutzen ist genau so sicher, wie das AUR mir einem AUR-Helper (yay et.al.) zu nutzen ohne vorher die PKGBUILDs zu prüfen.
Es könnte die Software drin sein, welche man haben will, oder beliebige Malware. Es ist halt russisches Roulette.

Offline

#11 26.06.2019 14:50:56

TBone
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

CellXd schrieb:

Wie benutzt man es denn sicher?

Punkt 1: schards Post verstehen.
Punkt 2: Entweder nichts online herunterladen (und nur lokale und überprüfte Pakete nutzen), oder --require-hashes nutzen, wobei die Pakete dabei vorher überprüft wurden (und auch diesen Hash hatten).
Pakete nach der Installation prüfen bringt nichts, setup.py wurde bereits ausgeführt.

Beitrag geändert von TBone (26.06.2019 14:52:01)

Offline

#12 26.06.2019 16:09:24

CellXd
Gast

Re: Python Packages aus Arch Repo und pip unterscheiden?

Und wenn der Rechner eines Arch Repo Maintainers infiziert wird und mit seinen Zertifikaten eine Software mit Malware veröffentlicht wird?

#13 26.06.2019 16:21:17

schard
Moderator

Re: Python Packages aus Arch Repo und pip unterscheiden?

CellXd schrieb:

Und wenn der Rechner eines Arch Repo Maintainers infiziert wird und mit seinen Zertifikaten eine Software mit Malware veröffentlicht wird?

Da stellt sich die Frage, was wahrscheinlicher ist.

Offline

#14 26.06.2019 18:40:29

CellXd
Gast

Re: Python Packages aus Arch Repo und pip unterscheiden?

schard schrieb:
CellXd schrieb:

Und wenn der Rechner eines Arch Repo Maintainers infiziert wird und mit seinen Zertifikaten eine Software mit Malware veröffentlicht wird?

Da stellt sich die Frage, was wahrscheinlicher ist.

Wie oft gab es denn Fälle von Malware in pip Paketen? Oder auch im Aur? Eine ernst gemeinte Frage. Mir sind keine Fälle von denen berichtet wurde bekannt.
Wo man halt aufpassen muss ist dass man den richtigen Paketnamen tippt. Es kann schädliche Pakete geben die Namensähnlichkeiten ausnutzen.
Aber dass ein bisher sauberes Paket plötzlich Malware verseucht ist? Gab es das jemals?

#15 26.06.2019 18:56:59

niemand
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Oder auch im Aur?

Mit’m AUR gab’s da mal was. Musst mal suchen.

Offline

#16 26.06.2019 19:01:58

TBone
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Das kommt schon häufiger mal vor:
https://www.heise.de/security/meldung/S … 34693.html
https://www.zdnet.com/article/twelve-ma … from-pypi/

Es ist mir aber SCHEIß EGAL, wie häufig das vor kommt. Wenn es mich dann erwischt. Soll ich dann sagen, ach, das war ja nur einmal bisher?

Offline

#17 26.06.2019 19:03:03

niemand
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Eigentlich hast du dein Bastelsystem ja eh in ’nem Container, und kannst tatsächlich „egal“ sagen. Oder hast du’s nicht so? wink

Offline

#18 26.06.2019 19:25:57

TBone
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Ich bin kein großer Freund von Containern, ich habe mein Zeug in ner VM (qemu). Ich habe zwar auch verschiedene um da bestimmte Sachen zu separieren, aber was ist das für ein Argument? Ich möchte kein Malware auf meinem System haben, auch nicht in einer VM. Es wäre nicht das erste mal, dass da jemand ausbricht. Oder irgendwelches schmuddel Zeug mit Kindern herunterlädt, oder dann von dort aus Sachen angreift. Kein Argument für mich.

Offline

#19 26.06.2019 19:55:12

niemand
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

Kein Argument für mich.

Tjo, dann wirst du halt von potentiell problematischeren Quellen (PIP, AUR et al) Abstand nehmen müssen.

Offline

#20 26.06.2019 20:24:02

CellXd
Gast

Re: Python Packages aus Arch Repo und pip unterscheiden?

Gerade für nicht compilierte Sprachen wie Python müsste es eigentlich intelligente Code Scans geben, die zumindest die Betreiber auf verdächtigen Code hinweisen.

#21 26.06.2019 21:21:57

TBone
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

niemand schrieb:

Tjo, dann wirst du halt von potentiell problematischeren Quellen (PIP, AUR et al) Abstand nehmen müssen.

Mache ich auch smile
Die Debian-Pakete reichen für mich aus im Dev-System.

Beitrag geändert von TBone (26.06.2019 21:23:02)

Offline

#22 27.06.2019 18:14:00

omee
Mitglied

Re: Python Packages aus Arch Repo und pip unterscheiden?

niemand schrieb:

Oder auch im Aur?

Mit’m AUR gab’s da mal was. Musst mal suchen.

War letztes Jahr ... https://www.pro-linux.de/news/1/26074/m … unden.html

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums