Хэш пакета Pipenv не соответствует файлу блокировки

У нас есть файл блокировки, который не менялся с апреля 2021 года. Недавно мы начали видеть следующую ошибку на pipenv install --deploy:

ERROR: THESE PACKAGES DO NOT MATCH THE HASHES FROM THE REQUIREMENTS FILE. If you have updated the package versions, please update the hashes. Otherwise, examine the package contents carefully; someone may have tampered with them.
    gunicorn==20.1.0 from https://files.pythonhosted.org/packages/e4/dd/5b190393e6066286773a67dfcc2f9492058e9b57c4867a95f1ba5caf0a83/gunicorn-20.1.0-py3-none-any.whl (from -r /tmp/pipenv-g7_1pdnq-requirements/pipenv-d64a8p6k-hashed-reqs.txt (line 32)):
        Expected sha256 e0a968b5ba15f8a328fdfd7ab1fcb5af4470c28aaf7e55df02a99bc13138e6e8
             Got        9dcc4547dbb1cb284accfb15ab5667a0e5d1881cc443e0677b4882a4067a807e

Мы открыли задачу в проекте GitHub https://github.com/benoitc/gunicorn/issues/2889

Мы считаем, что было бы небезопасно использовать эту новую версию без подтверждения ее правильности и безопасности на случай, если кто-то злонамеренно обновил пакет в репозитории пакетов.

Есть ли способ получить файл колеса из предыдущей сборки докера и принудительно использовать его на данный момент, чтобы мы могли безопасно выполнить сборку с существующей версией и контрольной суммой?

Спасибо

🤔 А знаете ли вы, что...
Python активно используется в научных и инженерных вычислениях.


1
126
1

Ответ:

Решено

Спасибо @Ouroborus за ответ:

e0... для пакета .tar.gz (исходный код), 9d... для пакета .whl. (См. ссылки «просмотреть хэши» на странице файлов PyPI gunicorn). Я не уверен, почему ваши системы выбирают загрузку колеса сейчас, когда они загружали исходный код ранее. Однако это действительные хэши для этого модуля и версии.