Ah, ok... Anche pipenv lo fa. Quindi il piano sarebbe installare
esattamente come nei lock files, eventualmente.
___
Python mailing list
Python@lists.python.it
https://lists.python.it/mailman/listinfo/python
Pietro Brunetti wrote on 16/06/22 10:56:
Non ho capito una cosa: Perché passare a pipenv o poetry dovrebbe essere
meglio?
non sono sicuro per pipenv, ma so che poetry fa quello che fa npm/yarn:
crea un "lock" file con gli sha delle librerie installate
federico
Non ho capito una cosa: Perché passare a pipenv o poetry dovrebbe essere
meglio?
(Incomincio a rivalutare go che usa direttamente gli url per le dipendenze)
___
Python mailing list
Python@lists.python.it
https://lists.python.it/mailman/listinfo/python
Yuri wrote on 16/06/22 09:28:
pip ha una modalità solo download (pip download), il controllo lo puoi
fare dopo il download con uno script e poi in caso positivo, fare
l'installazione.
questo significa riscrivere tutti i dockerfile che ho in giro, e fare il
copia incolla di uno script in
Mentre cerco un workaround, sto cercando di convincere gli sviluppatori
di pip ad aggiungere una nuova opzione a "pip install": al momento si
chiama "--scoped-index-url"
Vi sarò grato se vorrete dare una letta e mettere un pollice, su o giù
non importa, alla mia proposta
pip ha una modalità solo download (pip download), il controllo lo puoi
fare dopo il download con uno script e poi in caso positivo, fare
l'installazione.
Il 16/06/22 09:15, Federico Fissore ha scritto:
Ciao
Yuri wrote on 16/06/22 08:59:
In generale i pacchetti dovrebbero/possono avere una
Ciao
Yuri wrote on 16/06/22 08:59:
In generale i pacchetti dovrebbero/possono avere una firma, basterebbe
controllare quella.
Se ti riferisci allo hash del pacchetto, ho provato a smanettare con il
parametro "--hash" di "pip install" ma non sono riuscito a farlo funzionare
Il problema è
In generale i pacchetti dovrebbero/possono avere una firma, basterebbe
controllare quella.
Il 16/06/22 00:21, Giorgio Zoppi ha scritto:
Ciao,
Di solito nelle varie esperienze ho incontrato un repository pip
privato. Tutti gli sviluppatori accendino solo quel repo per le
dipendenze esterne e
Ciao,
Di solito nelle varie esperienze ho incontrato un repository pip privato.
Tutti gli sviluppatori accendino solo quel repo per le dipendenze esterne e
il gruppo di devops è responsabile di mantenerlo. Mi sembra più che giusto
aprire un ticket JIRA per aggiungere dipendenze all'ambiente
Ciao Federico,
On 15/06/22 22:08, Federico Fissore wrote:
Ciao a tutti
in questi giorni è saltato fuori che pip non permette di difendersi dalla
vulnerabilità nota come "dependency confusion": qui trovate una lunga
discussione sul problema e sulle alternative [1]
Le domande che vi faccio
Ciao a tutti
in questi giorni è saltato fuori che pip non permette di difendersi
dalla vulnerabilità nota come "dependency confusion": qui trovate una
lunga discussione sul problema e sulle alternative [1]
Le domande che vi faccio sono:
- voi condividete codice fra i vostri progetti?
- se
11 matches
Mail list logo
