PyPI を安全に利用するために、先日デフォルトで https を利用する pip がリリースされました。

ですがこれで終わりではありません。 pip や easy_install は PyPI のページからリンクを辿ってスクレイピングしてパッケージを探しています。リンク先がhttpsでなかったらやっぱり安全ではありません。

実は、 90% のパッケージは PyPI に直接配布ファイルをアップロードしているらしいです。 現在、これらのパッケージで外部のURLを /simple ページに表示しないようにしようという議論が進行中です。

これが実施されると安心なだけでなく、余計なスクレイピングが発生しなくなって pip が高速になると思われます。 wktk です。

興味の有るかたは Catalog-SIG の ML を参照してください。