Ответ 1
Нет, нет никаких сторонних проверок кода, загружаемого в PyPI (Индекс пакета Python, где pip загружает пакеты, если явно не указано иное). Единственное ограничение заключается в том, что после того, как имя пакета существует, только сопровождающий (-ы) может загружать пакеты с этим именем (т.е. Вы не можете отправить вредоносное обновление кому-то другому, используя одно и то же имя). Разработчик должен убедиться, что все, что они делают на PyPI, не содержит вредоносных программ, если только они не намерены использовать его в качестве вредоносного ПО, и каждый отдельный разработчик должен знать, что они загружают с помощью pip.
Это было использовано в исследовательском проекте, исследующем "typosquatting" . Исследователь загрузил некоторые "имитационные вредоносные программы" (в основном безвредные) для PyPI под именами, которые были с ошибками в версиях популярных имен пакетов, чтобы собирать данные о том, как часто устанавливались эти пакеты с ошибками. Если хакер-хакер сделал то же самое, они могли бы использовать гораздо более злонамеренный код.
См. также этот вопрос о безопасности стека в той же теме.