Mini wiki
PyPI
编辑
PyPI是
Python
的正式第三方
软件包
的
软件存储库
,它类似于
CPAN
。一些
软件包管理器
例如
Pip
,就是默认从PyPI下载软件包。用户通过PyPI可以下载超过235,000个Python软件包。
1
相关
供应链攻击
是一种传播间谍软件的方式,一般通过产品软件官网或软件包存储库进行传播。通常来说,黑客会瞄准部署知名软件官网的服务器,篡改服务器上供普通用户下载的软件源代码,将间谍软件传播给前往官网下载软件的用户。 此外,黑客还会向一些软件开发者常用的软件包存储库如Npm、
PyPI
和RubyGems等注入带有恶意代码的软件包。这些软件包在用户下载后安装时会触发恶意行为。比较知名的供应链攻击事有XcodeGhost风波。