note

外部ライブラリを活用する -pipとPyPIについて

この記事では、公開されている外部ライブラリを自身のPythonプログラミング環境にインストールし、利用する方法について説明します。 Pythonでは実に多種多様なライブラリが、パッケージの形式で無料公開されています。また、これらのライブラリを簡単に ...
GitHub

lirantal/pypi-security-best-practices

Source distributions (sdist) can execute arbitrary code during installation via setup.py, making them a common attack vector for supply chain attacks. Unlike pre-built wheels, source distributions ...
note

litellm PyPIパッケージが侵害された件をまとめてみた(v1.82.7 / v1.82.8)

AIアプリ開発者の間で広く使われているPythonライブラリ litellm の PyPI パッケージが、サプライチェーン攻撃によって侵害されました。セキュリティ的にかなり深刻な内容だったので、まとめておきます。 参考: GitHub Issue #24518 何が起きたのか litellm v1.82.7 と v1 ...
GitHub

pip install pypi-timemachine

This will start up a webapp running uvicorn, and will print out a line such as: pypi-timemachine server listening at http://localhost:5000 (Press CTRL+C to quit) Hint ...
The Hacker News

Warning: PyPI Feature Executes Code Automatically After Python Package Download

In another finding that could expose developers to increased risk of a supply chain attack, it has emerged that nearly one-third of the packages in PyPI, the Python Package Index, trigger automatic ...
University of Vermont

Appendix C: pip and venv

This covers creation of virtual environments and installing packages for use in your own projects. If you are using an IDE other than IDLE, chances are that your IDE has an interface for managing ...
theregister

Why Python's pip search isn't working: We speak to infrastructure director about ongoing ...

INTERVIEW Last December, the Python development team overseeing the Python Package Index (PyPI) temporarily disabled the search endpoint on its XML-RPC API because its infrastructure has been ...