Установка только из индекса частного реестра ⇐ Python

[Anonymous]

Как я могу указать с помощью pip, что данный пакет должен быть установлен ТОЛЬКО в том случае, если он найден в частном индексе, или, по крайней мере, должен отдавать предпочтение этому индексу перед pypi?
У меня есть частный реестр в нашем внутреннем Gitlab, который настроен со стандартным простым макетом pypi. Я не хочу использовать --extra-index-url, потому что это сделает его уязвимым для атак, путающих зависимости. (например, если я пытаюсь установить пакет из моего частного индекса, но в pypi есть пакет с тем же именем и более высокой версией, вместо этого он будет использовать его). https://medium.com/@alex.birsan/depende ... 5d60fec610
Вместо этого я попробовал использовать --index-url. Я ожидал, что это потерпит неудачу, но он установил пакет из pypi, поэтому я не уверен, подвержен ли он все еще атакам, связанным с путаницей зависимостей:

Код: Выделить всё

pip install -i https://git.mycompany.com/api/v4/projects/1337/packages/pypi/simple requests

Подробнее здесь: https://stackoverflow.com/questions/789 ... index-only