Python项目依赖管理最佳实践

既然我每次都可以 pip install somePackage, 为什么还需要requirements文件

尽管直接使用 pip install somePackage 可以在单个环境中便捷地安装包，但在软件开发和团队协作的场景中，使用 requirements.txt 文件具有几个显著优势：

1. 环境一致性：在不同的开发环境（如团队成员各自的电脑、测试服务器、生产环境等）中，直接手动安装包可能导致版本不一致，从而引发难以复现的bug。通过维护一个requirements.txt文件，确保了所有环境安装的是相同版本的依赖，保证了开发、测试和生产的环境一致性。
2. 项目可移植性：新加入项目的成员或部署人员只需一个命令 pip install -r requirements.txt 就能快速搭建起与项目匹配的环境，无需手动记录或查找需要哪些包及其版本。
3. 版本控制：随着项目的发展，某些包可能需要升级以修复安全漏洞或获取新特性。requirements.txt 记录了项目当前依赖的确切版本，便于版本管理和回溯。当依赖关系发生变化时，只需更新此文件并提交到版本控制系统，团队成员即可同步更新。
4. 自动化部署和CI/CD：在持续集成/持续部署（CI/CD）流程中，自动化工具会依赖于requirements.txt来自动安装项目所需的所有依赖，简化了部署流程，减少了人为错误。
5. 依赖冲突解决：在大型项目中，直接安装可能会遇到包版本之间的依赖冲突。通过预先定义好的requirements.txt，可以提前发现并解决这类冲突，避免在部署或运行时出现意外情况。
   因此，虽然直接使用 pip install 命令在某些简单场景下足够使用，但为了维护项目长期的稳定性和可维护性，使用 requirements.txt 文件是最佳实践。

本地环境中 python 依赖的 package version 和 requirements 中的不一致,这种情况如何处理

简单说结论： 手动搞

1. 备份当前环境：在进行任何更改之前，建议先备份当前的Python环境，以防操作失误导致依赖混乱。你可以使用虚拟环境（如venv、conda环境）的导出功能或记录当前安装的包列表。
2. 查看差异：首先，使用pip list查看当前环境中所有包及其版本，对比requirements.txt文件中的版本信息，明确哪些包需要更新或降级。
   更新或降级包：根据需求，使用pip命令安装或卸载包，使其与requirements.txt中指定的版本一致。
3. 安装特定版本：如果你需要安装特定版本的包，可以使用pip install package_nameversion命令。例如，pip install requests2.25.1会安装requests包的2.25.1版本。
4. 升级包：如果需要升级包至requirements.txt中的最新版本，可以使用pip install --upgrade package_name，或者指定版本升级pip install --upgrade package_name==version。
5. 降级包：若需降级，同样使用带有版本号的安装命令，如pip install package_name==previous_version。
6. 重新生成requirements文件：在完成调整后，可以考虑重新生成requirements.txt文件以反映当前环境的确切状态，这一步骤在确保未来环境一致性时很有用。使用pip freeze > requirements.txt命令来生成。
7. 验证环境：最后，再次运行pip freeze并与requirements.txt文件进行对比，确认所有包的版本都已经与文件中所列一致。
   测试应用：在调整完依赖后，务必运行应用程序的测试套件，确保所有功能正常工作，没有因为包版本变动引入新的问题。

package 依赖管理最佳实践

1. 使用虚拟环境：每个开发者应在其开发机器上为项目创建并使用独立的虚拟环境（如使用venv或conda）。这样可以确保项目依赖与系统全局环境隔离，避免不同项目间的依赖冲突。
2. 初始化时安装依赖：新加入项目的开发者应首先通过pip install -r requirements.txt命令安装项目所需的全部依赖，确保环境一致性。
   添加新依赖的流程：
3. 当某位开发者需要引入新的包时，首先在自己的虚拟环境中使用pip install安装该包。
4. 安装后，使用pip freeze > requirements.txt命令更新requirements.txt文件。这会将当前虚拟环境中所有已安装的包及其版本记录下来，包括新添加的包。
   开发者应该检查更新后的requirements.txt，确认只有新引入的包及其直接依赖被添加，避免无意中包含不必要的包或版本变更。
5. 提交更新后的requirements.txt到版本控制系统（如Git），并附上清晰的提交信息，说明为何添加这个依赖。
6. 版本锁定：尽量在requirements.txt中明确指定每个包的具体版本（例如，requests==2.25.1），而不是使用不固定的版本标识（如requests>=2.25.0），以减少版本兼容性问题。
7. 定期审查依赖：团队应定期审查并更新requirements.txt，确保依赖是最新的，并解决潜在的安全风险。可以使用如pip-audit或safety等工具检查依赖的安全性。
8. 沟通与协作：在引入可能影响广泛或有重大变更的新依赖前，与团队成员进行沟通，确保大家都理解变化的影响，并可能需要协调测试计划。

个人结论和感慨：

即使如此，也只能说明这个 package 管理挺“弱”的，举例说，不同环境中 pip freeze 出来的 requirements 文件的顺序并不相同； 本地和 Server 的依赖有细微 version 差别谁也不知道，都能正常 run。
每次新加入依赖，还是写个脚本比较一下？
可能是我做的少，欢迎讨论