Depender de paquetes abandonados y obsoletos en nuestras aplicaciones es generalmente algo que queremos evitar. pip-abandoned puede ayudar con esto. En algunos ecosistemas de empaquetado, el registro le permite marcar un paquete como obsoleto o abandonado. Por ejemplo en NPM:

y empaquetador:

Esto también permite a los administradores de paquetes consumir estos metadatos para proporcionar una advertencia en el momento de la instalación:

PyPI no tiene este concepto. El registro no proporciona ninguna forma de abandonar o desaprobar un paquete, y esto hace que sea más difícil saber si confía en un paquete que ya no se mantiene. Sin embargo, hay algunas señales que podemos observar. Lo mejor de todo es: si un paquete en PyPI está vinculado a un repositorio de GitHub y ese repositorio de GitHub está archivado, esta es una fuerte señal de que el paquete en sí ya no se mantiene.

pip-abandoned tiene en cuenta varias señales y nos permite buscar un entorno virtual o un archivo require.txt para identificar paquetes sospechosos abandonados o obsoletos.

Si se encuentran paquetes abandonados, pip-abandoned producirá un resumen:

La herramienta sale con el código 0 cuando no se encontraron paquetes abandonados y un código distinto de cero cuando se encontraron uno o más paquetes abandonados. Esto significa que puede usarlo como verificación de CI y también para auditorías ad hoc.