导语:
Python 项目在生产常见的事故来源是依赖漂移、包投毒、构建不可重现、签名未验证。本文提供一套可控方案:锁文件、重现构建、签名校验,并附 CI/CD 门禁与检查表。
1. 锁文件策略
- 使用
pyproject.toml+ 统一包管理器(pip-tools/poetry/uv)生成锁文件,包含完整依赖与哈希。 - CI 强制校验:依赖变更未更新锁文件 → 直接失败。
- 升级节奏:设“依赖升级窗口”,由机器人开 PR;高危依赖需审批。
- 私有镜像/代理:公网包进入批准列表,记录来源。
2. 重现构建
- 固定基础镜像与 Python 版本;构建命令统一(
make build/task build)。 - 产物:wheel/sdist + 构建元数据(commit、锁文件哈希、构建命令)。
- 环境一致:禁止生产临时
pip install;运行时仅用制品仓库。 - SBOM:生成 CycloneDX/SPDX,随制品存档。
3. 签名与校验
- 构建后对 wheel/镜像做签名(KMS 管理密钥)。
- 部署侧强制校验签名与哈希,失败直接阻断。
- 签名/哈希写入发布记录(证据包),便于审计。
4. CI/CD 门禁示例
CI:lint+格式化+类型检查、单测+覆盖率、依赖/锁文件校验、SBOM 生成。
CD:取制品+签名做安装演练;灰度 1%→10%→全量,设置错误率/时延停止条件;回滚保留上一版制品与签名。
5. Evidence Pack 模板
- 变更单/PR、锁文件版本/哈希、构建环境与命令
- 制品哈希/签名、SBOM 摘要
- 测试/覆盖率、契约测试结果
- 灰度/回滚记录与验证口径
6. 风险与对策
- “只锁顶层” → 必须锁全依赖树与哈希。
- “签名只做不验” → 部署侧强校验,否则等于无。
- “随手 pip install” → 生产禁止,发现后补录并重建版本。
7. 运行时护栏
- 定期
pip check/依赖校验,防止镜像腐烂。 - 依赖差分报告(新增/升级/降级)随 PR 提供,便于审阅风险。
- 对高风险依赖启用强签名校验或替换方案。
结语:
锁文件 + 重现构建 + 签名校验是 Python 生产可控的底座。把这些变成流水线默认项,高频迭代也能保持稳定与安全。
8. 上线前核查
- 锁文件/依赖差分已审查,CI 校验通过。
- 私有镜像/代理可用,批准列表更新;SBOM 生成无误。
- 签名校验在部署侧已验证;安装演练(smoke)通过。
- 灰度与停止条件配置完成,回滚流程演练过。
9. 运行时守护
- 定期
pip check与依赖校验,防止镜像腐烂。 - 依赖差分报告(新增/升级/降级)随 PR 提供,方便审阅风险。
- 高风险依赖启用强签名校验或替换方案,并在看板标记。
10. 复盘模板
- 发布/事件证据包:锁文件版本、制品哈希/签名、SBOM 摘要、测试结果、灰度/回滚记录、验证口径。
- 行动项:依赖风险整改、镜像刷新计划、告警优化,标记负责人与截止时间。
- 看板:依赖变更频率、高风险依赖占比、签名校验失败率、安装演练失败率。
