有时,我会遇到一些评论或回应,这些评论或回应都强调说pip在sudo“错误”或“不良”情况下运行,但在某些情况下(包括我设置了一堆工具的方式),它可能更简单,甚至有必要这样运行。
pip
sudo
什么是与运行相关的风险pip下sudo?
请注意,这个问题与这个问题不同,尽管有标题,但没有提供有关风险的信息。这也不是关于如何避免使用的问题sudo,而是关于为什么要使用的问题。
当你pip使用时sudo,你会setup.py使用sudo。换句话说,你可以从互联网上以root用户身份运行任意Python代码。如果有人在PyPI上放置了一个恶意项目,然后安装了该项目,则可以使攻击者具有对计算机的根访问权限。在最近对pipPyPI和PyPI进行修复之前,攻击者还可能在中级攻击中让一个人在你下载可信赖的项目时注入其代码。
setup.py
pipPyPI
PyPI
