La domanda è, come posso installare i pacchetti in modo sicuro con pip, su Ubuntu Trusty? Ovviamente ho bisogno di chiarire perché credo che sia insicuro.Come utilizzare in modo sicuro pip (con SSL) su Ubuntu Trusty?
urllib3 fornisce un InsecurePlatformWarning
se si effettua una richiesta https senza alcune librerie python aggiuntive di openssl aggiuntive installate, prima di Python 2.7.9. Questa è una domanda ben consolidata e risposta:
Il problema è che, se si installa pip versione 6 o giù di lì, si inizia a dare questo molto avvertimento, come si installa nulla. Dalla lettura della risposta ufficiale al problema:
https://urllib3.readthedocs.org/en/latest/security.html#pyopenssl
suona come il problema risiede nella libreria SSL Python. Pip è appena passato alla libreria ssl Python da openssl nell'ultima versione? La mia ipotesi (forse una cattiva ipotesi) è che pip ha usato la libreria Python prima, ha appena usato una versione precedente di urllib che non ha nemmeno dato l'avviso. Quindi è stato insicuro tutto il tempo (anche se il particolare problema di preoccupazione sembra essere piuttosto recente).
Beh, se è il caso, la versione standard di pip su Ubuntu non è sicura. Non posso usarlo per installare in sicurezza le cose per renderlo sicuro. Non importa, posso solo installare le stesse cose dalla repo di Ubuntu, che verifica i pacchetti con GPG:
http://packages.ubuntu.com/search?keywords=python-ndg-httpsclient
Salvo quanto sopra è disponibile solo a partire dal Utopic. Su Trusty mi sembra di essere bloccato.
Allora, qual è l'affare? Devo tirare i dadi e installare questa roba in modo non sicuro una volta, e poi usare pip in modo sicuro solo dopo? Oppure sto fraintendendo completamente la situazione?
Interessante, grazie. Quindi sembra una soluzione imperfetta, poiché probabilmente questo problema non è ben noto. Non ne avevo idea fino a quando non ho eseguito una versione recente di pip. Ma sembra che io possa ottenere tutti i pacchetti di cui ho bisogno per fare in modo che i pip funzionino in sicurezza da Pypi, e dovrei essere ragionevolmente sicuro nel farlo, dal momento che hai detto che la maggior parte dei problemi sono stati bloccati dal lato server (anche se non hai detto tutto di loro erano). Quindi, posso installare qualsiasi altra cosa di cui ho bisogno perché pip userà openssl. Doable, ma non sembra l'ideale. L'ecosistema è un po 'caotico. – orblivion
Come indicato [qui] (http://stackoverflow.com/a/29202163), è possibile passare all'utilizzo di 'PyOpenSSL' con' requests' tramite 'pip install request [security]'. In questo modo, si ottiene solo l'avviso per quell'uso di 'pip' e, come menzionato nella risposta di cui sopra, la connessione a PyPI non dovrebbe essere troppo preoccupante in quanto hanno gestito questi problemi di sicurezza lato server. –