pip (Python)

pip i​st ein Paketverwaltungsprogramm für Python-Pakete a​us dem Python Package Index (PyPI).

pip

Ausgabe von pip --help
Basisdaten
Erscheinungsjahr 2008
Aktuelle Version 21.1.2[1]
(23. Mai 2021)
Betriebssystem Plattformunabhängig
Programmiersprache Python
Kategorie Paketverwaltung
Lizenz MIT-Lizenz
deutschsprachig nein
http://pip.pypa.io

Der Name „pip“ ist ein rekursives Akronym und steht für „pip installs packages“.[2] Zu Beginn wurde das Projekt „pyinstall“ genannt.[3]

Beziehung zu easy_install

Das Python-Paketverwaltungsprogramm easy_install w​urde mit Setuptools eingeführt. p​ip wurde entwickelt, u​m easy_install z​u verbessern.[4]

PyPI

Der Python Package Index (PyPI) i​st der zentrale Paketpool u​nd umfasste Anfang 2017 u​m die 100.000 Pakete.[5] Entwickler können n​ach einer Registrierung Module hochladen u​nd so anderen Benutzern z​ur Verfügung stellen.

Im April 2018 w​urde eine neue, komplett verbesserte Webseite freigeschaltet.[6]

Sicherheit

Im September 2017 wurde bekannt, dass der Paketindex anfällig für Typosquatting war. Das ermöglichte die Registrierung von Paketnamen, die bereits mit der Python-Standardbibliothek ausgeliefert werden. Mehrere Untersuchungen (u. a. durch den slowenischen CERT) wiesen darauf hin und fanden Pakete mit Schadcode.[7][8] Betroffen waren 10 Bibliotheken, die mit abgewandelten Bezeichnungen wie „crypt“ statt „crypto“, „pwd“ statt „pwdhash“ oder „urllib“ statt „urllib3“ im Paketindex vorhanden waren. Allerdings wurde kein schädlicher Code ausgeführt, sondern nur Informationen zum Benutzer, dem Paketnamen und dem Hostnamen an einen Server gesendet.[9] Die betroffenen Pakete wurden kurz vor der Veröffentlichung des Fehlers durch das slowenische CERT vom PyPI-Team entfernt.[10]

Einzelnachweise
  1. Release 21.1.2. 23. Mai 2021 (abgerufen am 21. Juni 2021).
  2. pip 1.2. Abgerufen am 21. Juni 2016 (englisch).
  3. https://pypi.python.org/pypi/pyinstall
  4. Other tools. In: pip 1.5 documentation. 13. September 2013, abgerufen am 21. Juni 2016 (englisch).
  5. PyPI – the Python Package Index. Abgerufen am 21. Juni 2016 (englisch).
  6. Pyton Insider: New PyPI launched, legacy PyPI shutting down April 30 Python core development blog. Abgerufen am 26. Mai 2018.
  7. Golem: PyPI - Bösartige Python-Pakete entdeckt. 17. September 2017, abgerufen am 11. September 2018.
  8. Typosquatting programming language package managers. Abgerufen am 11. September 2018.
  9. skcsirt-sa-20170909-pypi. Abgerufen am 11. September 2018.
  10. Schadcode in offiziellem Python-Repository entdeckt. 19. September 2017, abgerufen am 11. September 2018.
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.