Identifizieren verlassener PyPI-Pakete

Im Allgemeinen möchten wir vermeiden, dass wir uns in unseren Anwendungen auf verlassene und veraltete Pakete verlassen. pip-abandoned kann dabei helfen. In einigen Verpackungsökosystemen ermöglicht Ihnen die Registrierung, ein Paket als veraltet oder aufgegeben zu markieren. Zum Beispiel in NPM:

und Packagist:

Dadurch können Paketmanager diese Metadaten auch nutzen, um bei der Installation eine Warnung auszugeben:

PyPI hat dieses Konzept nicht. Die Registrierung bietet keine Möglichkeit, ein Paket aufzugeben oder zu verwerfen. Dies macht es schwieriger zu erkennen, ob Sie sich auf ein Paket verlassen, das nicht mehr gepflegt wird. Es gibt jedoch einige Signale, die wir beobachten können. Das Beste daran ist: Wenn ein Paket auf PyPI mit einem GitHub-Repository verknüpft ist und dieses GitHub-Repository archiviert wird, ist dies ein starkes Signal dafür, dass das Paket selbst nicht mehr gepflegt wird.

pip-abandoned berücksichtigt mehrere Signale und ermöglicht uns die Suche in einer virtuellen Umgebung oder einer Datei „requirements.txt“, um verdächtige verlassene oder veraltete Pakete zu identifizieren.

Wenn verlassene Pakete gefunden werden, erstellt pip-abandoned eine Zusammenfassung:

Das Tool wird mit dem Code 0 beendet, wenn keine verlassenen Pakete gefunden wurden, und mit einem Code ungleich Null, wenn ein oder mehrere verlassene Pakete gefunden wurden. Das heißt, Sie können es sowohl als CI-Check als auch für Ad-hoc-Audits nutzen.

Das obige ist der detaillierte Inhalt vonIdentifizieren verlassener PyPI-Pakete. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!