Как правило, нам следует избегать использования заброшенных и устаревших пакетов в наших приложениях. pip-abandoned может помочь в этом. В некоторых экосистемах пакетов реестр позволяет пометить пакет как устаревший или заброшенный. Например, в NPM:

и упаковщик:

Это также позволяет менеджерам пакетов использовать эти метаданные для выдачи предупреждения во время установки:

PyPI не имеет этой концепции. Реестр не предоставляет возможности отказаться от пакета или объявить его устаревшим, и это затрудняет определение того, полагаетесь ли вы на пакет, который больше не поддерживается. Однако есть некоторые сигналы, на которые мы можем обратить внимание. Лучшее из них: если пакет в PyPI связан с репозиторием GitHub и этот репозиторий GitHub заархивирован, это сильный сигнал о том, что сам пакет больше не поддерживается.

pip-abandoned учитывает несколько сигналов и позволяет нам выполнять поиск в виртуальной среде или файле require.txt для выявления подозрительных заброшенных или устаревших пакетов.

Если будут обнаружены заброшенные пакеты, pip-abandoned выдаст сводную информацию:

Инструмент завершает работу с кодом 0, если не найдено ни одного заброшенного пакета, и с ненулевым кодом, если обнаружен один или несколько заброшенных пакетов. Это означает, что вы можете использовать его как для проверки CI, так и для специального аудита.