Discussion :

[Code2589]

Bonjour à tous,

Débutant dans le codage Python, je souhaite télécharger des package sur Pypi.org.
Auriez-vous une technique permettant de vérifier si ce que l'on installe ne cache pas de virus/malware ?

Après avoir installé un package, le terminal renvoi une ligne indiquant ce qui a été téléchargé et quelle version.
Pouvons-nous nous baser sur ça ?

Je sais que c'est un sujet très large mais il me semble important de ne pas installer n'importe quoi.

Merci pour vos réponses !

[wiztricks]

Salut,

Les packages s'installent généralement avec pip qui permet de vérifier ce qui est mentionné dans la documentation.
Si vous voulez quelque chose de plus robuste, vous pouvez inspecter les sources puis reconstruire la distribution, passer les tests,... sur un environnement isolé avant de le tamponner "bon pour le service"...

- W

[Code2589]

Salut Wiztricks,

Merci pour ta réponse !

En bref, c'est pas simple de vérifier manuellement tout ce que l'on souhaite installer...
Il y a t'il une règle (sur le site depuis + 1an par exemple) qui pourrait annoncer un package sur le principe sûr ?

Il y en a un en particulier que j'ai installé mais aucune "stars" ni rien sur GitHub et j'aimerais vérifier qu'il soit bon..
J'ai fait dans la précipitation

[wiztricks]

En bref, c'est pas simple de vérifier manuellement tout ce que l'on souhaite installer...
Il y a t'il une règle (sur le site depuis + 1an par exemple) qui pourrait annoncer un package sur le principe sûr ?

C'est assez simple mais ça prend du temps.

Pour les règles... vous n'allez pas installer des packages obscurs mais préférez ceux qui sont populaires. Vous préférerez rester en version n-2 ou n-1 plutôt que de vous précipiter à installer les dernières versions (sauf bonne raison). C'est juste du bon sens que vous appliquez déjà sans doute pour vos achats sur Internet.

- W

[Code2589]

C'est vrai que c'est du bon sens, comme partout vous avez raison

Si je désinstalle le package en question c'est déjà mieux que rien ou c'est trop tard ?
Je peux vous donner le nom en MP si besoin.

[wiztricks]

Si je désinstalle le package en question c'est déjà mieux que rien ou c'est trop tard ?

S'il contenait un virus vicieux, c'est probablement trop tard. Mais bon, il ne faut pas être trop parano sinon vous ne démarreriez jamais un ordinateur connecté à Internet.

- W

[Code2589]

Merci pour vos réponses, toujours très intéressant d’avoir vos avis.
Malheureusement, sans aucunes connaissances informatiques gérer Wireshark, Dock etc en plus sous MacOS me paraît assez difficile. Je pense apprendre à utiliser tout cela pour plus tard, lorsque j’aurais besoin d’autres packages.
Je pense réinstaller MacOS car je ne peux pas vérifier le code du package installé (puis désinstallé depuis) avec un niveau python proche de 0.
La réinstallation me permettra de repartir sur des bases saines ?