Das Verlassen auf verlassene und veraltete Pakete in unseren Anwendungen ist im Allgemeinen etwas, das wir vermeiden möchten. pip-abandoned kann dabei helfen. In einigen Verpackungsökosystemen ermöglicht Ihnen die Registrierung, ein Paket als veraltet oder aufgegeben zu markieren. Zum Beispiel in NPM:

und Paketist:

Dies ermöglicht es Paketmanagern auch, diese Metadaten zu nutzen, um bei der Installation eine Warnung auszugeben:

PyPI hat dieses Konzept nicht. Die Registrierung bietet keine Möglichkeit, ein Paket aufzugeben oder abzulehnen. Dadurch ist es schwieriger zu erkennen, ob Sie sich auf ein Paket verlassen, das nicht mehr gepflegt wird. Es gibt jedoch einige Signale, die wir beobachten können. Das Beste daran ist: Wenn ein Paket auf PyPI mit einem GitHub-Repository verknüpft ist und dieses GitHub-Repository archiviert wird, ist dies ein starkes Signal dafür, dass das Paket selbst nicht mehr gepflegt wird.

pip-abandoned berücksichtigt mehrere Signale und ermöglicht uns die Suche in einer virtuellen Umgebung oder einer Datei „requirements.txt“, um verdächtige verlassene oder veraltete Pakete zu identifizieren.

Wenn verlassene Pakete gefunden werden, erstellt pip-abandoned eine Zusammenfassung:

Das Tool wird mit dem Code 0 beendet, wenn keine verlassenen Pakete gefunden wurden, und mit einem Code ungleich Null, wenn ein oder mehrere verlassene Pakete gefunden wurden. Das heißt, Sie können es sowohl als CI-Check als auch für Ad-hoc-Audits nutzen.