您的企业Python包治理方法是什么？

Question

企业python包管理的常用方法是什么？在我的职业生涯中，我遇到过风险偏好级别较低的组织，并且经常给开发人员带来治理限制。

一些组织在允许开发人员自由访问并将pypi python包合并到他们的代码库或生产环境中时，会有一些犹豫，而不是在没有任何“审查”的情况下。在这种情况下，最好的策略是确保没有恶意的包被合并到代码库中？

Answer 1

大公司通常倾向于定义需要在开发团队中实施的策略。有时，策略定义了要实现的确切安全措施，因此在采取行动之前必须了解策略和要求。

话虽如此，我记得我曾见过使用以下代码的项目和客户：

1. 文件中包含的允许和不允许的库的列表。如果清单上有什么东西，那就没问题了。如果有些东西不是，要么不要使用，要么去和更高级别的架构师谈谈，让他包括这个库。如果您使用的库不在您的生产代码的列表中，那么您就不符合要求，需要修复它。(我知道，这种软方法听起来像是一场灾难，但实际上并非如此。通常开发人员倾向于使用库，因为它们节省时间并提供功能，而不是因为他们愿意让雇主黑他们的雇主，所以处理小的不顺从往往比你下面看到的花费更少的时间)。
2. 创建了一个仅包含允许的库的存储库。让开发团队只使用存储库。它是1的一个限制性更强的版本，缺点是它需要大量的维护并且相当快，所以它包含了所有最新的库版本。我不是python方面的专家，但对我来说，它看起来相当简单：https://packaging.python.org/guides/hosting-your-own-index/。只需一个Apache实例和一些脚本就可以管理的东西。

关于第二点的好处是，公司通常已经有了某种缓存代理。我回忆起其中一家公司是如何被Maven禁止的，因为开发人员一直在用没有缓存的请求来杀死存储库。所以应该已经有一些东西可以用来构建解决方案了。