Show HN: Pipask – safer pip without compromising convenience
a year ago
- #Python
- #Package Management
- #Security
- Pipask 是 pip 的安全替代工具,在安装 Python 包前会执行安全检查。
- 它依赖 PyPI 元数据来避免不必要的代码执行,并在需要执行时征求用户同意。
- 可通过 pipx(推荐)或 pip 安装 Pipask,使用方式与 pip 相同,例如命令 `pipask install requests`。
- 为方便起见,用户可在 shell 配置中将 pip 别名设为 pipask。
- Pipask 执行多项安全检查,包括代码库流行度、包年龄、已知漏洞、下载统计数据和元数据验证。
- 它使用 PyPI 的 JSON API,并从 pypistats.org、GitHub/GitLab、OSV.dev 和 PyPI 的完整性 API 收集安全数据。
- 空运行模式(`--dry-run`)允许在不安装的情况下检查安全性。
- 仅对显式请求的包执行完整检查;传递性依赖仅进行漏洞检查。
- 若获批准,Pipask 会将实际安装工作委托给标准 pip 执行。