Với gói Debian hoặc Ubuntu, có một số kiểm soát chất lượng. PIP có giống nhau hay hoàn toàn miễn phí cho tất cả? Có ai có thể tải lên bất kỳ mã nào họ muốn dưới bất kỳ tên nào mà họ muốn không?Các gói PIP có được quản lý không? Có an toàn để cài đặt chúng không?
Dường như có một số gói rác như https://pypi.python.org/pypi/opencv/0.0.1 có cùng tên với khung làm việc tầm nhìn máy tính rất phổ biến.
Không, không có kiểm tra của bên thứ ba trên mã được tải lên PyPI (chỉ mục gói Python, nơi tải xuống gói pip trừ khi được chỉ dẫn rõ ràng khác). Hạn chế duy nhất là khi tên gói tồn tại, chỉ người duy trì có thể tải lên các gói có tên đó (nghĩa là bạn không thể gửi bản nâng cấp độc hại lên gói của người khác bằng cùng tên). Người bảo trì đảm bảo rằng mọi thứ họ có trên PyPI không chứa phần mềm độc hại, trừ khi họ dự định là phần mềm độc hại, và tùy thuộc vào từng nhà phát triển để biết những gì họ đang tải xuống bằng pip.
Điều này đã được khai thác trong một research project investigating "typosquatting". Nhà nghiên cứu đã tải lên một số "phần mềm độc hại mô phỏng" (chủ yếu là vô hại) cho PyPI dưới tên các phiên bản sai chính tả của các tên gói phổ biến, để thu thập dữ liệu về tần suất các gói sai chính tả này được cài đặt. Nếu một hacker mũ đen đã làm điều tương tự, họ có thể đã sử dụng nhiều mã độc hơn.
Xem thêm điều này Security Stack Exchange question về cùng một chủ đề.