Python Python: os módulos do PyPI são seguros para instalar?

Bruno Ed · 3 de março de 2022

Fala galera, comecei a me aventurar na linguagem Python e vi que tem muitos módulos para incrementar os programas…
É seguro baixar sem critério os módulos do pypi.org?
Se não, como posso verificar se algum módulo específico é seguro?

Kamuri · 7 de março de 2022

Não, não é seguro. Existem várias notícias de pessoas que tiveram o computador invadido baixando pacotes do pypi. Eles não são revisados, qualquer um pode subir qualquer coisa.

Pra saber se são seguros você pode analisar o código fonte, você encontra o link no pypi na maioria das vezes, por exemplo.

Swalls · 5 de junho de 2023

Como que se analisa um código fonte de uma biblioteca do pypi com mais de 200 módulos? ou que esteja obfuscada?

Kamuri · 16 de junho de 2023

É complicado, se tiver obfuscada já não seria uma boa ideia instalar, já que a pessoa quer esconder algo. Sobre verificar libs muito grandes, você poderia criar um script pra identificar potenciais riscos, como URLs, one-liners, etc e, caso desconfie de algo, rode dentro de um sandbox como uma VM.