Das Verlassen auf verlassene und veraltete Pakete in unseren Anwendungen möchten wir im Allgemeinen vermeiden. pip-abandoned kann dabei helfen. In einigen Verpackungsökosystemen ermöglicht Ihnen die Registrierung, ein Paket als veraltet oder aufgegeben zu markieren. Zum Beispiel in NPM:
und Paketist:
Dadurch können Paketmanager diese Metadaten auch nutzen, um bei der Installation eine Warnung auszugeben:
PyPI hat dieses Konzept nicht. Die Registrierung bietet keine Möglichkeit, ein Paket aufzugeben oder zu verwerfen. Dies macht es schwieriger zu erkennen, ob Sie sich auf ein Paket verlassen, das nicht mehr gepflegt wird. Es gibt jedoch einige Signale, die wir beobachten können. Das Beste daran ist: Wenn ein Paket auf PyPI mit einem GitHub-Repository verknüpft ist und dieses GitHub-Repository archiviert wird, ist dies ein starkes Signal dafür, dass das Paket selbst nicht mehr gepflegt wird.
pip-abandoned berücksichtigt mehrere Signale und ermöglicht uns die Suche in einer virtuellen Umgebung oder einer Datei „requirements.txt“, um verdächtige verlassene oder veraltete Pakete zu identifizieren.
Wenn verlassene Pakete gefunden werden, erstellt pip-abandoned eine Zusammenfassung:
Das Tool wird mit dem Code 0 beendet, wenn keine verlassenen Pakete gefunden wurden, und mit einem Code ungleich Null, wenn ein oder mehrere verlassene Pakete gefunden wurden. Das heißt, Sie können es sowohl als CI-Check als auch für Ad-hoc-Audits nutzen.
Das obige ist der detaillierte Inhalt vonIdentifizieren verlassener PyPI-Pakete. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Der Unterschied zwischen Concat und Push in JS
So reinigen Sie das zu volle Laufwerk C des Computers
Anrufwarnung des Nationalen Zentrums für Betrugsbekämpfung
Wie man im Währungskreis aus Tausenden Hunderttausende macht
Die Rolle des HTML-Titel-Tags
So beheben Sie den Fehler 443
Linux-Systemzeit
Hat die Inflationsrate einen Einfluss auf digitale Währungen?
