保护Python运行环境
作者:Dana Crane,ActiveState
在Python开发中,许多开发者选择使用现成的、信誉良好的打包运行环境,这种运行环境被定义为Python语言本身加上流行的第三方包和解释器。这样做可以避免进行以下工作:
- 评估哪些第三方包是可信的
- 从源代码编译这些包
- 解决所有依赖关系
对于大多数Python开发者来说,这通常意味着下载Anaconda或ActiveState的Python、ActivePython或类似的商业产品。这些发行版通常包含数百个预编译和预验证的流行Python库,可以用于各种项目。当然,对于任何一个项目,你最终可能只会使用到包含的包中的不到一半。
根据你的软件开发流程,你可能正在为生产环境创建单独的Requirements.txt
或Pipfile.lock
文件。然而,在ActiveState,我们的许多企业客户无法修改他们的Python运行环境(更不用说创建一个新的),而不会让法律团队介入,重新评估开源许可证是否与公司政策冲突,这会延迟他们的上市时间。因此,他们构建的运行环境就是他们测试的,也是他们投入生产的。
日益增长的安全问题
开源安全供应商如Synopsys(2018年开源安全和风险分析报告)和Snyk(2