Vlákno názorů k článku
Python bojuje s fantómovými závislostmi od Michal Smrž - Nějak to nechápu. Pokud to neuvedu v klasických...

Nějak to nechápu. Pokud to neuvedu v klasických metadatech, co mě donutí to uvést v SBOM? A pokud bude nutný SBOM, pak to deprekuje všechny pyproject, setup.py apod.?

Jestli to chápu dobře, tak do SBOM se to dá "automagicky".

zásadní problém pythonu je v tom, že nemá jen python závislosti, ale často se buildí různé C/C++/Rust moduly a ty mají svůj balíčkovací systém. Udělat poté rebuild nějakého balíčky ze zpravidla u pythonu nemožné, musí se ručně probrat zdrojové repo, dokumentace a dopátrat se k tomu.

Tak třeba probíhá implementace v nixpkgs, který tady je zmíněný nebo třeba podobně to dělá i conda balíčkovací systém.

Python je v tomhle největší peklo, všichni stahují binární bloby, při stahování z pypi se neověřují ani checksumy, netušíš, co je obsahem a pokus o build z repa končí v nekonečném debugování.

Ty buildy jdou dělat i u balíčků s nativním kódem. Vyžaduje to mít nainstalovaný ekosystémy (třeba GCC, Clang, Rust), ale my třeba hermetic buildy děláme - trvá to, ale jde to.

checksumy u wheels se snad ověřují ne? Když byl problém se sítí, tak to běžně padalo u špatných hashů. V lockfilech to vypadá nějak takto:


wheels = [
{ url = "https://files­.pythonhosted­.org/packages/63/97/77­cb2450d9b35f517d6cf50625­6bf4f5bda3f93a66b4ad64ba­7fc917899c/ai­ohttp-3.12.15-cp312-cp312-macosx_10_13_u­niversal2.whl", hash = "sha256:802d3­868f5776e28f7bf69d349c26­fc0efadb81676d0a­fa88ed00d98a26340b7", size = 702333, upload-time = "2025-07-29T05:50:46.507Z" },
{ url = "https://files­.pythonhosted­.org/packages/83/6d/05­44e6b08b748682c30b9f6564­0d006e51f90763b41d7c5466­93bc22900d/ai­ohttp-3.12.15-cp312-cp312-macosx_10_13_x86_­64.whl", hash = "sha256:f2800­614cd560287be05e33a67963­8e586a2d7401f4ddf99e304d­98878c29444", size = 476948, upload-time = "2025-07-29T05:50:48.067Z" },
{ url = "https://files­.pythonhosted­.org/packages/3a/1d/c8­c40e611e5094330284b1a­ea8a4b02ca085­8f8458614fa35754cab42b9c­/aiohttp-3.12.15-cp312-cp312-macosx_11_0_ar­m64.whl", hash = "sha256:84661­51554b593909d30a0a125d63­8b4e5f3836e5a­ecde85b66b80de­d1cb5b0d", size = 469787, upload-time = "2025-07-29T05:50:49.669Z" },

12. 8. 2025, 12:25 editováno autorem komentáře

my to také dělat musíme, ale je to dost práce s každým balíčkem a ještě se tam objevují regrese. Občas není jasné vůči čemu to je v pypi builděno nebo jde vidět, že sice v kódu buildí proti nové verzi, při buildu používají asi nějakou cache a mají tam starou.

Mno, https://pip.pypa.io/en/stable/topics/secure-installs/#secure-installs. Wheels není vše, co pip stahuje, že a ty hashe přichází stejným kanálem.