[Python] Come determinare le dipendenze di un progetto Python senza Pipfile o requirements.txt?
bruno bossola
bbossola a gmail.com
Sab 11 Apr 2020 12:46:20 CEST
Ciao Pietro.
per pip puoi usare `pip freeze`, non so se funzioni con conda. Ma credo che
> comunque ci sia un modo "conda nativo" per listare i pacchetti. Basta
> cercare su internet o con un bell --help.
>
> Si, l'ho scritto nel mio messaggio originale, ho fatto le mie ricerche
prima di postare, come sempre :) Ma se noti, come ho scritto, ci sono
delle limitazioni in quell'approccio, e non so bene come superare quelle.
> Questione più grande:
> Per python esiste già questo
> https://pypi.org/project/safety/
>
> Non l'ho mai usato, ma mi ricordavo di averne letto a riguardo.
>
> Si certo, lo conosciamo, solo che:
1. il suo DB di vulnerabilità non e' manutenuto decentemente, molte
delle commit di aggiornamento sono vuote
<https://github.com/pyupio/safety-db/commits/master> e in circa un anno
escono circa 100/150 nuove vulnerabilità solo su pacchetti Python quindi...
aehm... non so se lo userei :) Ho pure contattato l'autore e CEO (?) di
Safety ma mi ha detto che non era interessato ad integrazioni, quindi boh?
2. Non fornisce informazioni sulle versioni dei pacchetti
3. Non fornisce informazioni sulle licenze dei pacchetti
Diciamo che personalmente non lo raccomando, soprattutto per lo scarsamente
aggiornato database delle vulnerabilità. Ci sono altri competitor molto
piu' "spessi" di cui preoccuparsi ma che, per fortuna, costano 5/10 volte
noi :)
Ma quindi non il discorso "vulnerabilita' nei pacchetti opensource" non e'
molto sentito in Python?
Ciao,
Bruno
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.python.it/pipermail/python/attachments/20200411/1fe9145d/attachment.html>
Maggiori informazioni sulla lista
Python