Identification des packages PyPI abandonnés

S'appuyer sur des packages abandonnés et obsolètes dans nos applications est généralement quelque chose que nous voulons éviter. pip-abandoned peut vous aider. Dans certains écosystèmes d'empaquetage, le registre vous permet de marquer un package comme obsolète ou abandonné. Par exemple dans NPM :

et Packagiste :

Cela permet également aux gestionnaires de packages de consommer ces métadonnées pour fournir un avertissement au moment de l'installation :

PyPI n'a pas ce concept. Le registre ne fournit aucun moyen d'abandonner ou de déprécier un package, ce qui rend plus difficile de savoir si vous comptez sur un package qui n'est plus maintenu. Cependant, nous pouvons examiner certains signaux. Le meilleur est le suivant : si un package sur PyPI est lié à un référentiel GitHub et que ce référentiel GitHub est archivé, c'est un signal fort que le package lui-même n'est plus maintenu.

pip-abandoned prend en compte plusieurs signaux et nous permet de rechercher un environnement virtuel ou un fichier Requirements.txt pour identifier les packages suspectés d'abandon ou de dépréciation.

Si des packages abandonnés sont trouvés, pip-abandoned produira un résumé :

L'outil se termine avec le code 0 lorsqu'aucun colis abandonné n'a été trouvé et un code différent de zéro lorsqu'un ou plusieurs colis abandonnés ont été trouvés. Cela signifie que vous pouvez l'utiliser comme contrôle CI ainsi que pour des audits ad hoc.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!