[使用conda install <some package>或conda install -c <some channel> <some package>安装软件包时,conda二进制文件是否验证下载的软件包归档文件的完整性(使用诸如SHA256之类的算法)?
[在某些国家/地区,官方的conda镜像非常慢(或被阻止),本地镜像通常更快,并且可以提供更好的用户体验,但是如果conda二进制文件经过验证,则无法验证本地镜像的完整性。使用从官方conda镜像获取的元数据下载的存档,那么那些不太幸运的用户可以使用本地镜像,而不必担心本地镜像的完整性。
conda config --set extra_safety_checks true)的选项,但不是您要解决的问题。问题在于,校验和信息是在程序包归档文件本身的info/paths.json文件中提供的,而不是由独立的元数据存储库提供的。这可能会减轻中间人在存档文件中插入内容的麻烦,但不会捕获使用conda build构建的包含恶意代码并推送到渠道的软件包。因此,仅使用受信任的频道。
非常重要为什么要进行安全检查?"Understanding and Improving Conda's Performance"帖子中的[[验证包内容部分下有一些背景。