Безопасно ли устанавливать не пакеты Python (обновления Java, обновления C ++) в виртуальной среде Anaconda?

Question

Я использую Anaconda на MacOS, и у меня есть несколько виртуальных сред для разных версий Python, TensorFlow, Pytorch и т. Д. *

Недавно я попытался установить Auto-Keras и собрать Tensorflow из исходного кода (каждый в отдельном виртуальном окружении), и в обоих случаях он попросил меня обновить кучу C ++ (SWIG, gcc, ..) новая версия java, между прочим, и иногда она запрашивает мой пароль root в середине процесса.

В стиле Python pip install <lib> Я всегда предполагал, что безопасно делать все, что я хотел, в данном виртуальном окружении, поскольку весь смысл, в котором он содержал зависимости и пакеты, и установки в другом виртуальном окружении, не будет нарушен ,

Но в этом случае я волнуюсь, так как:

a) Они не устанавливаются с помощью pip или conda

b) Он постоянно просит меня ввести пароль администратора и изменить глобальные конфигурации, такие как Java vision и т. Д. *

Являются ли другие пакеты, кроме пакетов Python, "контейнеризованными" так же, как пакеты Python в виртуальной среде?

Если нет, могу ли я рисковать, обновляя C ++, SWIG, Java и т. Д.?

Answer 1

Во-первых, виртуальный env не дает вам защиты :) Он просто изменяет PATH переменную окружения.Вы не в безопасной песочнице даже с пакетами Python.pip install xxx выполнит setup.py, что также может привести к появлению вредоносного ПО.

Во-вторых, да, они просят у вас разрешения sudo, и, безусловно, это опасно.Но вы все еще можете доверять тому, кому стоит доверять.В конце концов, вы все еще используете стороннюю ОС вместо того, чтобы создавать ее самостоятельно?