<div dir="ltr">Ciao a tutti,<div><br></div><div>Riemergo sulla lista dopo qualche anno :) e come CTO di un'azienda. <a href="https://www.meterian.com/">Meterian</a>, che si occupa di sicurezza. In pratica il nostro tool, data una codebase, ne determina le dipendenze e verifica che nessuna di esse sia vulnerabile, out of date o che usi una licenza non business friendly. In pratica generiamo dei report tipo <a href="https://www.meterian.com/projects/?pid=2285a757-857f-4bdf-9b5e-d1c5acb27751" target="_blank">questo</a> o <a href="https://www.meterian.com/projects/?pid=495ac650-b512-498d-b58b-fb5aff4d0320">questo</a>.</div><div><br></div><div>Abbiamo implementato il supporto per Python fino a un certo punto :), al momento supportiamo Pipfile e requirements.txt (dove usiamo comunque pipenv per rigenerare il Pipfile) ma direi che ci manca supporto a tutto il resto e siccome io non sono un esperto di Python (cioe', conosco il linguaggio ma professionalmente lo uso solo per scripting e QA al momento) avrei bisogno di aiuto :)</div><div><br></div><div>Intravedo per ora altri tre altri fondamentali sistemi per dichiarare le dipendenze:</div><div><ol><li>setup.py</li><li>Venv</li><li>Conda</li></ol><div>Per quanto riguarda <b>setup.py </b>credo sia sufficiente usare "python setup.py egg_info" che genera il file <name>.egg-info/requires.txt che a quel punto mi posso andare a leggere. Unica cosa che ho notato e' che non sempre le dipendenze dichiarano una versione, e poi non sono sicuro di riuscire a generare il grafo quindi.... boh.</div><div><br></div><div>Per quanto riguarda <b>venv </b>se ho capito bene crea un virtual environment con tutto dentro, quindi dovrebbe bastare zomparci dentro e fare un pip freeze. Pero' mi mancherebbe il vero grafo delle dipendenze. </div></div><div><br></div><div>Per <b>conda </b>mi sto ancora studiando il tooling, ma mi sembra si possa ottteere il grafo con "conda create --dry-run --json -n <package>" oppure con il nuovo </div><div>comando "conda.models.dag" (che pero' non sono riuscito a fare funzionare.</div><div><br></div><div>Se avete suggerimenti li apprezzo molto volentieri. E se volete usare il tool comunque e' gratis per progetti opensource :)</div><div><br></div><div>Grazie in anticipo e buona Pasqua (anche se casalinga quest'anno!).</div><div>Ciao,</div><div><br></div><div>    Bruno</div><div><br clear="all"><div><div dir="ltr" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr" style="color:rgb(0,0,0)"><div>--</div><div><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>Bruno Bossola</div><div>CTO - <a href="http://meterian.io/" style="color:rgb(17,85,204)" target="_blank">meterian.io</a></div><div><a href="https://www.meterian.com/webscanner.html" style="color:rgb(17,85,204)" target="_blank">Scan your website now!</a></div></div><div style="margin:2px 0px 0px"></div></div></div></div><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><a href="https://www.meterian.com/projectscanner.html" style="color:rgb(17,85,204)" target="_blank">Scan your project now!</a></div><div style="margin:2px 0px 0px"></div></div></div></div></div></div><div style="color:rgb(0,0,0);margin:2px 0px 0px"></div></div></div></div></div></div></div></div>