Buenas, Hasta donde yo se si te haces una cuenta (cualquiera puede hacerlo) puedes subir un paquete con un nombre nuevo (no puedes subir paquetes que no te pertenezcan). Y hasta ahí toda la seguridad para crear algo nuevo.
También se han dado casos de que alguien encuentre paquetes maliciosos y acaben siendo borrados https://www.zdnet.com/article/twelve-malicious-python-libraries-found-and-removed-from-pypi/ O puedes usar un servicio de un tercero para delegar la confianza de esos análisis de seguridad https://pypi.org/project/safety/ Y con esto y según tu nivel de paranoia puedes elegir tu propia aventura: * No fiarte de nadie más que de ti. Instalar tu propio pypi privado (con por ejemplo pulp u otra herramienta que tu mismo valides) y solo meter en el paquetes previamente escrutados por ti. Por supuesto analizar antes cada linea del proyecto del repo de pypi y del propio python que uses. * Instalar solo paquetes de cierto prestigio y usar herramientas como safety para mantenerlos al día. Darte de alta en las listas de desarrollo de esos proyectos y hacer algún análisis de seguridad para encontrar bugs. * Usar los repos con tranquilidad, pensando en la inmunidad de grupo que proporcionan los paranoicos que escrutan cada paquete al detalle. Basta con revisar no cometer typos en el requirements, porque un Diango en vez de Django es un buen candiato para ser un paquete troyano. * Ir a lo loco e instalar cualquier cosa que esté o no en pypi, que para eso tenemos la opción -e en pip. Y las cosas que te encuentres ofuscadas en la deep web o en un honeypot recien instalado son las más divertidas. Espero que esto te haya servido de ayuda. Igual no te he entendido bien y por integridad te refieres a cierto nivel de calidad de código o cobertura de tests, pero más o menos la respuesta sería parecida pero con otras herramientas ;-) Un saludo, Javi El lun, 8 feb 2021 a las 9:16, Javier Morales de Lucas (<javm...@gmail.com>) escribió: > Mi una duda sobre los módulos que se instala por pip es la siguiente, > quisiera saber qué proceso que tiene para un módulo se incluya en el > repositorio. Me refiero quién o qué organismo revisa eso módulos y su > integridad. Ya sé que el código de cada módulo es puede revisar pero existe > alguna entidad que se encargue de este tipo de cuestiones. Soy un profano > en la materia y puede que la pregunta sea absurda aún así. > Gracias > _______________________________________________ > Python-es mailing list > Python-es@python.org > https://mail.python.org/mailman/listinfo/python-es >
_______________________________________________ Python-es mailing list Python-es@python.org https://mail.python.org/mailman/listinfo/python-es
