Câu hỏi đặt ra là, làm cách nào để cài đặt các gói an toàn với pip, trên Ubuntu Trusty? Tất nhiên tôi cần phải làm rõ lý do tại sao tôi tin rằng nó không an toàn.Làm thế nào để sử dụng một cách an toàn pip (với SSL) trên Ubuntu Trusty?
urllib3 cung cấp số InsecurePlatformWarning
nếu bạn thực hiện yêu cầu https mà không cần thêm vài thư viện python liên quan đến openssl bổ sung, trước Python 2.7.9. Đây là một câu hỏi cũng được thành lập và trả lời:
Vấn đề là, nếu bạn cài đặt phiên bản 6 pip hoặc lâu hơn, nó bắt đầu đem lại cho bạn cảnh báo rất này, như bạn cài đặt bất cứ điều gì. Từ đọc các câu trả lời chính thức cho vấn đề:
https://urllib3.readthedocs.org/en/latest/security.html#pyopenssl
có vẻ như vấn đề nằm trong thư viện ssl Python. Pip vừa chuyển sang thư viện Python ssl từ openssl trong phiên bản mới nhất chưa? Đoán của tôi (có lẽ là một dự đoán xấu) là pip sử dụng thư viện Python trước đây, nó chỉ sử dụng một phiên bản cũ của urllib mà thậm chí không đưa ra cảnh báo. Vì vậy, nó đã không an toàn toàn bộ thời gian (mặc dù các mối quan tâm đặc biệt của mối quan tâm dường như là hơi gần đây).
Vâng nếu đó là trường hợp, phiên bản cổ phiếu của pip trên Ubuntu không an toàn. Tôi không thể sử dụng nó để cài đặt một cách an toàn công cụ để an toàn. Không có vấn đề, tôi chỉ có thể cài đặt những điều tương tự từ repo của Ubuntu, mà xác minh gói với GPG:
http://packages.ubuntu.com/search?keywords=python-ndg-httpsclient
Trừ ở trên là chỉ có sẵn bắt đầu từ năm Utopic. Trên Trusty tôi dường như bị mắc kẹt.
Vậy thỏa thuận là gì? Tôi có phải cuộn xúc xắc và cài đặt công cụ này không an toàn một lần, và sau đó sử dụng pip an toàn chỉ sau đó? Hay tôi hoàn toàn hiểu sai hoàn cảnh?
Thú vị, cảm ơn. Vì vậy, nó có vẻ giống như một giải pháp không hoàn hảo, vì vấn đề này có lẽ không nổi tiếng. Tôi không có ý tưởng về điều này cho đến khi tôi chạy một phiên bản mới nhất của pip. Tuy nhiên, có vẻ như tôi có thể nhận được tất cả các gói tôi cần để pip hoạt động an toàn từ pypi và tôi nên an toàn khi làm như vậy vì bạn đã nói hầu hết các vấn đề đều bị dừng phía máy chủ (mặc dù bạn không nói tất cả trong số đó là). Sau đó, tôi có thể cài đặt bất cứ điều gì khác tôi cần vì pip sẽ được sử dụng openssl. Có thể thực hiện được, nhưng stlil không có vẻ lý tưởng. Hệ sinh thái là một chút hỗn loạn. – orblivion
Như đã chỉ ra [ở đây] (http://stackoverflow.com/a/29202163), bạn có thể chuyển sang sử dụng 'PyOpenSSL' với' requests' qua 'pips cài đặt yêu cầu [an ninh] '. Bằng cách này, bạn chỉ nhận được cảnh báo cho rằng việc sử dụng 'pip' và, như đã đề cập trong câu trả lời ở trên, kết nối với PyPI chính nó không nên quá lo lắng vì họ đã xử lý các vấn đề bảo mật phía máy chủ này. –