Le versioni recenti del programma di installazione pip
non hanno installato pacchetti che non caricano i loro file del pacchetto in PyPI a meno che l'utente non fornisca esplicitamente l'opzione --allow-external
(related answer).pip: una soluzione alternativa per evitare --allow-external?
Desidero distribuire il pacchetto che dipende da tale libreria come dirspec. Attualmente devo dire agli utenti di mio pacchetto di installare il mio pacchetto con il seguente comando:
$ pip install --allow-external dirspec MyPackage
Diventa più problematico quando si tratta di imballaggi biblioteca. Se il mio pacchetto è una libreria Devo anche dire autori di pacchetti che dipendono da mio pacchetto a raccontare le loro agli utenti di installare il loro pacchetto con il seguente comando:
$ pip install --allow-external dirspec TheirPackage
C'è qualche soluzione per evitare questo situtation?
--allow-external non è un workaround di sicurezza-'pip' controlla ancora il checksum del download esterno con quello acquisito in modo sicuro da pypi. Se, d'altra parte, OP chiedesse una soluzione alternativa per --allow-non verificata, allora sarebbe davvero un problema di sicurezza. Vedi questa domanda: http://stackoverflow.com/q/21021326/42610 – liori