导语:
近期安全事件再次证明,Python 项目的风险往往来自依赖漂移、包投毒、构建不可重现。本文给出生产级交付的三板斧:锁文件、重现构建、签名校验,并提供可直接执行的 CI/CD 配置要点。
1. 锁文件策略
- 使用
pyproject.toml+ 统一包管理器(pip-tools/poetry/uv)生成锁文件,包含完整依赖与哈希。 - CI 强制校验:修改依赖未更新锁文件 → 直接失败。
- 升级节奏:设置“依赖升级窗口”,由机器人生成 PR,集中处理。
- 私有镜像/代理:禁止直接拉公网;对公网包做批准列表。
2. 重现构建
- 固定基础镜像与 Python 版本;构建命令固定(
make build/task build)。 - 构建产物:wheel/sdist + 构建元数据(commit、锁文件哈希、构建命令)。
- 本地/CI/生产一致:禁止生产临时
pip install;运行环境由制品派发。 - SBOM:生成 CycloneDX SPDX,随制品存档。
3. 签名与校验
- 构建后对 wheel/镜像做签名(KMS 管理密钥)。
- 部署侧强制校验签名与哈希,校验失败直接阻断。
- 将签名/哈希写入发布记录(证据包),便于审计。
4. CI/CD 门禁示例
CI
- lint + 格式化 + 类型检查(核心模块 mypy 严格模式)。
- 单测 + 覆盖率阈值;关键 API 做契约测试。
- 依赖/锁文件校验;SBOM 生成。
CD
- 取制品+签名,做一次安装演练(smoke)。
- 灰度发布:1%→10%→全量,设置错误率/时延停止条件。
- 回滚:保留上一版制品与签名,开关/流量一键切回。
5. Evidence Pack 模板
- 变更单/PR、锁文件版本/哈希、构建环境与命令
- 制品哈希/签名、SBOM 摘要
- 测试/覆盖率与契约测试结果
- 灰度/回滚记录、验证口径
6. 常见坑与对策
- “只锁顶层” → 必须锁全依赖树与哈希。
- “签名只做不验” → 部署侧强校验,否则等于无。
- “随手 pip install” → 生产禁止,发现后应补录并重建版本。
结语:
锁文件 + 重现构建 + 签名校验是 Python 生产可控的基础设施。把它们做成流水线默认项,高频迭代也能保持稳定与安全。
补充:来源与镜像安全
- 统一私有镜像/代理,公网包须进入“批准列表”并记录来源。
- 下载哈希校验与缓存防篡改;异常哈希立即阻断。
- 对高风险依赖启用强签名校验(Sigstore/自签+校验),部署侧二次验证。
补充:一致性检查清单
- Python 版本本地/CI/生产一致,或通过 pyenv/容器固定。
- 环境变量:
.env.example完整,CI 检查缺失/多余变量。 - 任务脚本:本地/CI/生产统一入口(如
make lint test build),避免命令漂移。
补充:成本与运行时护栏
- 运行时禁止“临时 pip install”,发现后生成工单并补录版本。
- 对长时间运行的任务,设定
pip check/依赖校验周期,防止镜像腐烂。 - 在 CI 加入“依赖差分报告”(新增/升级/降级列表),便于审阅风险。
