PyPI機能は、Pythonパッケージのダウンロード後にコードを自動的に実行する
スポンサーリンク
PyPI機能は、Pythonパッケージのダウンロード後にコードを自動的に実行するという警告の記事が公開されていましたので、こちらを共有します。
PyPI(Python Package Index)のパッケージのほぼ3分の1が、ダウンロード時に自動でコードを実行するトリガーになっていることが明らかとなっており、開発者がパッケージをダウンロードしただけで、それがもし悪意のあるパッケージだった場合に、コンピュータに侵入し、ランサムウェアなどに感染させられる可能性が高いと警告している。
Pythonのパッケージをインストールする方法の1つは、「pip install」コマンドを実行することであるが、悪意のあるパッケージが増加することで、他のインストール手段が必要になってくる。