Por exemplo, eles verificam uma assinatura digital (como o apt-get e o Windows Update) ou podem precisar usar SSL? Se não, eu estou um pouco preocupado que os pacotes baixados podem ser trojan ..
Pip foi atualizado :
SSL Certificate Verification
Starting with v1.3, pip provides SSL certificate verification over https, to prevent man-in-the-middle attacks against PyPI downloads.
A versão 8.0 também tem a funcionalidade para verificar os hashes locais .
Todos os pacotes do Python não estão hospedados no pypi.python.org, mas o easy_install procurará a página do PyPi para links de download. Muitos pacotes comuns, como PIL e lxml, usam seu próprio servidor de distribuição (o que, na verdade, causa problemas para os consumidores de pacotes). Exemplo: link
pypi.python.org em si não parece oferecer suporte HTTPS de qualquer tipo.
Se você deseja fornecer um ambiente easy_install / pip seguro, sugiro espelhar os pacotes necessários em um servidor em que você mantém HTTPS e restringir os downloads a esse servidor usando a opção --allow-hosts :
Where available, MD5 information should be added to download URLs by appending a fragment identifier of the form #md5=..., where ... is the 32-character hex MD5 digest. EasyInstall will verify that the downloaded file’s MD5 digest matches the given value.
Parece que o easy_install faz alguma validação, mas parece que somente verifica se o repositório de pacotes fornece a chave MD5.
A seção planos futuros da mesma página reforça isso:
Future plans:
- Signature checking? SSL? Ability to suppress PyPI search?
Tags python security pip easy-install