python庫(kù)PyPI 有很多的垃圾軟件包的原因

本篇內(nèi)容介紹了“python庫(kù)PyPI 有很多的垃圾軟件包的原因”的有關(guān)知識(shí)，在實(shí)際案例的操作過程中，不少人都會(huì)遇到這樣的困境，接下來(lái)就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

Python 官方軟件庫(kù) PyPI 正被垃圾軟件包所淹沒。這些軟件包以不同的電影或電視劇的名稱命名，通常與托管盜版內(nèi)容的山寨和 torrent  網(wǎng)站有關(guān)。

這些軟件包中每一個(gè)都由唯一的維護(hù)者帳戶發(fā)布，這使得 PyPI 一次刪除所有軟件包和垃圾帳戶具有挑戰(zhàn)性。

當(dāng) Sonatype 的高級(jí)軟件工程師 Adam Boesch 在審核一個(gè)數(shù)據(jù)集時(shí)，注意到有一個(gè)以流行的電視劇命名的 PyPI  組件時(shí)，才發(fā)現(xiàn)了這一問題。

Boesch 表示："我在查看數(shù)據(jù)集時(shí)注意到有一個(gè) PyPl 組件名為  wandavision(旺達(dá)與幻視)，這對(duì)于一個(gè)軟件包的名字來(lái)說有點(diǎn)奇怪。"

仔細(xì)查看，并在 PyPI 上調(diào)查了一番后，Boesch 發(fā)現(xiàn)了更多提供盜版下載網(wǎng)站相關(guān)的 PyPl  組件，其命名規(guī)則通常是「watch-(movie-name)-2021-full-on-line-movie-free-hd-」

盡管其中有一些軟件包已經(jīng)上架了幾周時(shí)間，但垃圾軟件的提交者仍在繼續(xù)向 PyPI 添加更新的軟件包。通過關(guān)鍵詞搜索發(fā)現(xiàn)，相關(guān)的結(jié)果有  10,000+。這些偽造軟件包的網(wǎng)頁(yè)包含垃圾關(guān)鍵字和指向盜版電影流媒體站點(diǎn)的鏈接。

除此之外，Boesch 還觀察到這些軟件包中的每個(gè)軟件包都是由不同的維護(hù)者所發(fā)布的，這可能會(huì)使 PyPI  管理員很難一次性移除這些軟件包并封禁這些賬戶。

除了包含垃圾關(guān)鍵字和指向盜版視頻流媒體站點(diǎn)的鏈接以外，這些軟件包還包含帶有功能代碼和作者信息的文件，這些文件是從合法的 PyPI 軟件包中提取的。

例如，在一個(gè)發(fā)現(xiàn)的垃圾程序包中「watch-army-the-dead-2021-full-online-movie-free-hd-quality」包含了作者信息和合法  PyPI 程序包 jedi-language-server 中的一些代碼。

惡意行為者將合法軟件包的代碼與其他假的或惡意的軟件包結(jié)合起來(lái)，以掩蓋他們的意圖，并使這些軟件包的檢測(cè)更具挑戰(zhàn)性。

“python庫(kù)PyPI 有很多的垃圾軟件包的原因”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)可以關(guān)注億速云網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實(shí)用文章！