Pip (Python)
Paketverwaltungsprogramm für Python-Pakete
From Wikipedia, the free encyclopedia
pip ist das de-facto und empfohlene[2] Paketverwaltungsprogramm für Python-Pakete aus dem Python Package Index (PyPI). Zu Beginn wurde das Projekt „pyinstall“ genannt.[3]
| pip | |
|---|---|
Ausgabe von pip --help | |
| Basisdaten | |
| Maintainer | Python Packaging Authority |
| Erscheinungsjahr | 2008 |
| Aktuelle Version | 25.3[1] (25. Oktober 2025) |
| Betriebssystem | Plattformunabhängig |
| Programmiersprache | Python |
| Kategorie | Paketverwaltung |
| Lizenz | MIT-Lizenz |
| deutschsprachig | nein |
| http://pip.pypa.io | |
Beziehung zu easy_install
Das Python-Paketverwaltungsprogramm easy_install wurde mit Setuptools eingeführt. pip wurde entwickelt, um easy_install zu verbessern.[4]
PyPI
Sicherheit
Im September 2017 wurde bekannt, dass der Paketindex anfällig für Typosquatting war. Das ermöglichte die Registrierung von Paketnamen, die bereits mit der Python-Standardbibliothek ausgeliefert werden. Mehrere Untersuchungen (u. a. durch den slowenischen CERT) wiesen darauf hin und fanden Pakete mit Schadcode.[7][8] Betroffen waren 10 Bibliotheken, die mit abgewandelten Bezeichnungen wie „crypt“ statt „crypto“, „pwd“ statt „pwdhash“ oder „urllib“ statt „urllib3“ im Paketindex vorhanden waren. Allerdings wurde kein schädlicher Code ausgeführt, sondern nur Informationen zum Benutzer, dem Paketnamen und dem Hostnamen an einen Server gesendet.[9] Die betroffenen Pakete wurden kurz vor der Veröffentlichung des Fehlers durch das slowenische CERT vom PyPI-Team entfernt.[10]
Ein erneuter Typosquatting-Fall, diesmal mit ernstzunehmender Schadsoftware, wurde Mitte 2022 bekannt.[11]