导语:
依赖漂移与供应链风险让 Python 生产交付变得脆弱。本文提供可信化路径:锁文件、重现构建、签名校验、门禁与运行时护栏,并附报表与检查清单。
1. 锁文件策略
- 统一入口:
pyproject.toml+ pip-tools/poetry/uv 生成锁文件,记录完整依赖与哈希。 - CI 校验:依赖变更未更新锁文件 → 直接失败;禁用“latest/无上限”。
- 升级节奏:设“依赖升级窗口”,机器人提 PR;高危依赖需审批。
- 私有镜像/代理:公网包进入批准列表并记录来源。
2. 重现构建
- 固定基础镜像与 Python 版本;构建命令统一(
make build/task build)。 - 产物:wheel/sdist + 构建元数据(commit、锁文件哈希、构建命令)。
- 环境一致:禁止生产临时
pip install;运行时仅用制品仓库。 - SBOM:生成 CycloneDX/SPDX,随制品存档。
3. 签名与校验
- 构建后对 wheel/镜像签名(KMS 管理密钥)。
- 部署侧强制校验签名与哈希,失败即阻断。
- 签名/哈希写入发布记录(证据包),便于审计。
4. CI/CD 门禁示例
- CI:lint+格式化+类型检查、单测+覆盖率、依赖/锁文件校验、SBOM 生成。
- CD:取制品+签名做安装演练;灰度 1%→10%→全量,定义错误率/时延停止条件;回滚保留上一版制品与签名。
5. 运行时与成本护栏
- 定期
pip check与依赖校验,防镜像腐烂。 - 依赖差分报告(新增/升级/降级)随 PR 提供,便于风险审阅。
- 高风险依赖启用强签名校验或替换方案,并在看板标记。
6. Evidence Pack 模板
- 变更单/PR,锁文件版本/哈希,构建环境与命令
- 制品哈希/签名,SBOM 摘要
- 测试/覆盖率、契约测试结果
- 灰度/回滚记录与验证口径
7. 上线前核查
- 锁文件/依赖差分审查通过,CI 绿。
- 私有镜像/代理可用,批准列表更新;SBOM 生成无误。
- 签名校验在部署侧验证;安装演练通过。
- 灰度与停止条件配置完成,回滚流程演练过。
8. 运营看板与报表
- 看板:依赖变更频率、高风险依赖占比、签名校验失败率、安装演练失败率。
- 周报:依赖变更、签名校验失败、安装演练失败、灰度/回滚记录。
- 改进项:高风险依赖替换、镜像刷新计划、告警优化,附负责人与截止时间。
9. 快速核查
- 锁文件/依赖差分审查通过,CI 绿。
- 私有镜像/代理可用,批准列表与 SBOM 更新。
- 签名校验在部署侧验证,灰度与停止条件配置完毕,回滚演练过。
结语:
把锁文件、重现构建、签名校验做成流水线默认项,Python 交付才能在高频迭代中保持可信与可控。
10. 操作示例
- 生成锁文件:
uv pip compile pyproject.toml -o uv.lock --generate-hashes并在 CI 校验哈希。 - 制品验证:部署前执行
pip install --no-index --find-links=./dist app.whl && pip check,校验签名/哈希后再放流量。 - 周报模板:依赖差分摘要、高风险包列表、签名/校验失败、安装演练失败、灰度/回滚记录与动作结论。
