我已完成Python 3应用程序,并使用PyPi的多个公共模块。
然而,在将其部署到我们公司的企业环境中处理客户凭据和访问第三方API之前,我需要做尽职调查以确保它们是安全的。
我需要执行哪些步骤:
- 验证PyPi模块的安全性和可用性,并注意目标Python 3应用程序将处理凭据的重要性。
- 最推荐的验证PyPi模块签名的方法是什么?
- 能够信任PyPi模块的签名吗?
顺便说一下,Python 3应用程序将在Docker容器中运行。
谢谢
如果您对依赖关系担忧到那个程度,我认为您应该考虑维护内部pypi存储库。它可以提供更好的验证(仅在初始下载后自己签署软件包并仅接受您的签名)。它提供了更好的可靠性和速度(如果pypi崩溃,您仍然可以构建软件)。而且它避免了替换/更新尚未审核/批准的软件包的问题。