pip 出现“包不匹配哈希”错误答案

【问题标题】："PACKAGES DO NOT MATCH THE HASHES" error with pippip 出现“包不匹配哈希”错误
【发布时间】：2019-02-23 16:45:17
【问题描述】：

我正在尝试使用 pip 安装软件包。在这种情况下，对于 OpenCV。但是，我无法安装任何东西。我正在使用 python 3.5.3 en pip 18.0（使用 get-pip.py 安装）。

无论我尝试什么，命令“pip install package-name”都会生成以下错误：

这些包与需求文件中的哈希值不匹配。如果您已更新软件包版本，请更新哈希值。否则，请仔细检查包装内容；可能有人篡改了它们。来自https://www.piwheels.org/simple/opencv-contrib-python-headless/opencv_contrib_python_headless-3.4.3.18-cp35-cp35m-linux_armv6l.whl#sha256=ff894c0cc7c98b05b7b260a1dc462e7ad0a4220b042072fc0134a2b7a92bc4a5 的 opencv-contrib-python-headless：预期 sha256 ff894c0cc7c98b05b7b260a1dc462e7ad0a4220b042072fc0134a2b7a92bc4a5 得到 4119d8c56d19ef044c1faca317dd10f2bb3b50cbee77426a22feca9b641c5637

我尝试过的事情：

使用“--no-cache-dir”，正如另一个使用相同问题的人所建议的那样。
重新安装 python/pip 或尝试其他版本的 python。

【问题讨论】：

标签： python opencv pip

【解决方案1】：

这是https://pywheels.org/维护者需要解决的问题。

https://www.piwheels.org/simple/opencv-contrib-python-headless/ 包含指向opencv_contrib_python_headless-3.4.3.18-cp35-cp35m-linux_armv6l.whl 的链接，其中嵌入了ff894c0cc7c98b05b7b260a1dc462e7ad0a4220b042072fc0134a2b7a92bc4a5 的SHA256。

然而，下载文件，它的实际 SHA256 是4119d8c56d19ef044c1faca317dd10f2bb3b50cbee77426a22feca9b641c5637（我自己得到这个，所以它不是一个攻击者在你的网络连接中间胡闹，只是为了替换恶意包)。

如果攻击者已将恶意软件注入软件包但未更新校验和，则这可能意味着恶意篡改已经发生（可能是直接破坏了 PyWheels 基础设施的人）。安全的做法是联系网站所有者并要求他们调查问题。

【讨论】：

我创建了一个问题，维护人员确认问题出在他们这边。谢谢。
我很困惑？我到底该怎么做？我有完全相同的错误消息，而是使用不同的 Expected Sha256 和 Got。 Sha256：db3106b7ca86999a7bd1f2fcc93e49314e5e6e451356774e421a69428df5020b 和得到：7aba82298c4332d97cec009d9e45ce79a52c29f0bf885ee264c35f9af06d7e2c。我真的需要修复我正在安装的这个包>。
@Tigerrrrr，与包作者交流。这些检查的目的是防止有人篡改第三方库（f/e，插入加密矿工或恶意软件有效负载）。如果您只是通过检查，那么您（可能）强制安装恶意有效负载，所以不要这样做 - 相反，与库的作者沟通；或者，如果您可以通过其他方式（PGP 签名的 git commit，f/e）获取源代码，请改为这样做。
哦，好吧，我猜我安装的软件包并不是真正的已知软件包，就像其他安装一样。所以，我可能不应该继续安装。谢谢
@CharlesDuffy |哦，我可能不应该在前面提到这个，它是github上的一个包，也许你可以阅读python并看到什么不寻常的东西？ https://github.com/GiantTreeLP/nimses-adimate