У нас есть файл блокировки, который не менялся с апреля 2021 года. Недавно мы начали видеть следующую ошибку на pipenv install --deploy
:
ERROR: THESE PACKAGES DO NOT MATCH THE HASHES FROM THE REQUIREMENTS FILE. If you have updated the package versions, please update the hashes. Otherwise, examine the package contents carefully; someone may have tampered with them.
gunicorn==20.1.0 from https://files.pythonhosted.org/packages/e4/dd/5b190393e6066286773a67dfcc2f9492058e9b57c4867a95f1ba5caf0a83/gunicorn-20.1.0-py3-none-any.whl (from -r /tmp/pipenv-g7_1pdnq-requirements/pipenv-d64a8p6k-hashed-reqs.txt (line 32)):
Expected sha256 e0a968b5ba15f8a328fdfd7ab1fcb5af4470c28aaf7e55df02a99bc13138e6e8
Got 9dcc4547dbb1cb284accfb15ab5667a0e5d1881cc443e0677b4882a4067a807e
Мы открыли задачу в проекте GitHub https://github.com/benoitc/gunicorn/issues/2889
Мы считаем, что было бы небезопасно использовать эту новую версию без подтверждения ее правильности и безопасности на случай, если кто-то злонамеренно обновил пакет в репозитории пакетов.
Есть ли способ получить файл колеса из предыдущей сборки докера и принудительно использовать его на данный момент, чтобы мы могли безопасно выполнить сборку с существующей версией и контрольной суммой?
Спасибо
@Ouroborus все локальные машины, серверы сборки и док-контейнеры сообщают об одном и том же изменении хэша. Что вы имеете в виду под запуском хеш-инструмента?
Есть программы, которые просто создают хэши файлов. sha256 — это алгоритм хеширования, который широко поддерживается. Я только что запустил его на своем конце, и я также получил новый хэш (9d...
). Я не уверен, что с этим делать. Нет веских причин для его изменения.
e0...
для пакета .tar.gz (исходный код), 9d...
для пакета .whl. (См. ссылки «просмотреть хэши» на странице файлов gunicorn PyPI) Я не уверен, почему ваши системы выбирают загрузку колеса сейчас, когда они загружали исходный код ранее. Однако это действительные хэши для этого модуля и версии.
@Ouroborus спасибо за предоставление этой информации. Я хотел бы отметить это как принятый ответ, если вы хотите опубликовать его как один!
Спасибо @Ouroborus за ответ:
e0...
для пакета .tar.gz (исходный код), 9d...
для пакета .whl. (См. ссылки «просмотреть хэши» на странице файлов PyPI gunicorn). Я не уверен, почему ваши системы выбирают загрузку колеса сейчас, когда они загружали исходный код ранее. Однако это действительные хэши для этого модуля и версии.
Это вызывает беспокойство, поскольку репозиторий также не выпускался с апреля 2021 года. PyPI сообщает, что последний раз он обновлялся в марте 2021 года. За исключением злоумышленников, всегда есть повреждение сети, хранилища и памяти. Я бы проверил, можете ли вы получить файл с правильным хэшем sha256, используя другой компьютер в другой сети. URL указан в сообщении об ошибке. Загрузите его напрямую, запустите на нем соответствующий инструмент хеширования и сравните результаты с ожидаемым хешем в ошибке.