Как заставить pip использовать сначала приватный реестр пакетов, а лишь потом pypi.org?

Question

[Станислав Гордиенко]

Привет, на днях сделал утилиту и разместил в приватном реестре пакетов. Коллеги начали устанавливать и писать, что она не работает. Посмотрел и удивился. Оказывается, пакет с таким же именем существует в официальном реестре пакетов pypi.org Локально не было этой проблемы, так как я указал версию пакета и раз ее не оказалось в официальном реестре, pip поставил ее из приватного реестра. Так это же дыра в безопасности.

Начал гуглить и увидел, что для pip реестры все одинаковые, и если есть коллизия имен, то он будет брать самую последнюю версию.

Я попробовал указать только один приватный реестр, но вот беда, тогда другие пакеты не могут быть найдены. Не работает.

Кто сталкивался с подобной проблемой и как ее разрешили? У нас приватные пакеты зависят от других приватных пакетов. Сначала посетила сумасшедшая мысль сделать приватный прокси-реестр, которые если не находит пакет в приватном идет в публичный. Но не хотелось бы усложнять вещи.

Спасибо за идеи и решения.

Comments

[javedimka]

Сначала посетила сумасшедшая мысль сделать приватный прокси-реестр, которые если не находит пакет в приватном идет в публичный. Но не хотелось бы усложнять вещи.

А чё в этом сумасшедшего? Сумасшествие это без кэшируещего прокси сервера сидеть и пакеты напрямую с пайпи тянуть. Сегодня есть, а завтра нет...

Answer 1

[Денис]

Переименуй её и будет счастье)) {пакет}_stagor

Comments

[Станислав Гордиенко]

Так тут не дело в том, чтобы переименовать и забыть. На самом деле, это огромная дыра (ну или дырочка) в безопасности. Любой сотрудник, который работал в компании и зная названия пакетов, можно легко запушить пакет с этим же именем в публичный реестр, с более старшей версией и каким-либо эксплоитом и все пиши пропало.

[rPman]

Именно через такие публичные репозитарии (например используемые npm для node, похожим образом был внедрен код злоумышленника в кошелек для eos криптовалюты, помню там многоденег украли у людей) и атакуют злоумышленники.

Простота использования неверифицированного кода сама по себе дыра, и красивого решения мне кажется не существует.

Удобно надежно дешево - выбери два из трех
хочешь гарантий - плати (трать время/ресурсы) за верификацию каждого используемого решения. Да и apt update или pip upgrade не должен использоваться бездумно.