У нас есть файл блокировки, который не менялся с апреля 2021 года. Недавно мы начали видеть следующую ошибку на pipenv install --deploy
:
ERROR: THESE PACKAGES DO NOT MATCH THE HASHES FROM THE REQUIREMENTS FILE. If you have updated the package versions, please update the hashes. Otherwise, examine the package contents carefully; someone may have tampered with them.
gunicorn==20.1.0 from https://files.pythonhosted.org/packages/e4/dd/5b190393e6066286773a67dfcc2f9492058e9b57c4867a95f1ba5caf0a83/gunicorn-20.1.0-py3-none-any.whl (from -r /tmp/pipenv-g7_1pdnq-requirements/pipenv-d64a8p6k-hashed-reqs.txt (line 32)):
Expected sha256 e0a968b5ba15f8a328fdfd7ab1fcb5af4470c28aaf7e55df02a99bc13138e6e8
Got 9dcc4547dbb1cb284accfb15ab5667a0e5d1881cc443e0677b4882a4067a807e
Мы открыли задачу в проекте GitHub https://github.com/benoitc/gunicorn/issues/2889
Мы считаем, что было бы небезопасно использовать эту новую версию без подтверждения ее правильности и безопасности на случай, если кто-то злонамеренно обновил пакет в репозитории пакетов.
Есть ли способ получить файл колеса из предыдущей сборки докера и принудительно использовать его на данный момент, чтобы мы могли безопасно выполнить сборку с существующей версией и контрольной суммой?
Спасибо
🤔 А знаете ли вы, что...
Python активно используется в научных и инженерных вычислениях.
Спасибо @Ouroborus за ответ:
e0...
для пакета .tar.gz (исходный код), 9d...
для пакета .whl. (См. ссылки «просмотреть хэши» на странице файлов PyPI gunicorn). Я не уверен, почему ваши системы выбирают загрузку колеса сейчас, когда они загружали исходный код ранее. Однако это действительные хэши для этого модуля и версии.