У меня есть частный реестр в нашем внутреннем Gitlab, в котором есть несколько пакетов Python. Я знаю о проблеме с атаками --extra-index-url и путаницей зависимостей: если у меня есть пакет foobar, и злоумышленник загружает его более позднюю версию на pypi.org, он может быть выбран вместо пакета из мой индекс. Я надеялся, что вместо этого будет работать --index-url, но это, похоже, не помешало pip просмотреть pypi.org.
В качестве примера я ожидал, что это потерпит неудачу: потому что запросы есть только на pypi.org, а не в моем индексе:
Код: Выделить всё
pip install -i https://git.mycompany.com/api/v4/projects/1337/packages/pypi/simple requests
К моему удивлению, он все еще получает пакет с pypi.org. Я не уверен, дан ли какой-либо приоритет, но предполагаю, что он все еще уязвим для путаницы с зависимостями. Я упускаю какую-то возможность установить его ТОЛЬКО из определенного индекса?
Подробнее здесь:
https://stackoverflow.com/questions/789 ... index-only
Мобильная версия