hedgehogues Asked:2020-04-10 20:46:34 +0000 UTC2020-04-10 20:46:34 +0000 UTC 2020-04-10 20:46:34 +0000 UTC 为什么不使用 sudo pip? 772 你为什么不应该使用sudo pip?这方面我不是很了解。我被要求问一个单独的问题。许多其他人也可能会发现这很有用。 python 4 个回答 Voted Best Answer Nofate 2020-04-10T23:33:39Z2020-04-10T23:33:39Z 为什么不使用sudo pip install? 当你安装一个包时,你不只是把它放在你的文件系统上,你还执行一个setup.py. 因为任何人都可以将包上传到 PyPI,所以您不能确定它setup.py不包含以 root 身份运行时不受欢迎/危险/不可接受的代码。 就危险级别而言,这相当于在超级用户下“从云端”执行 shell 脚本: wget -O - http://example.com/some/unsafe/script.sh | bash 怎样成为? 选项1 除非你绝对需要从root-a下安装一个包,你可以使用 pip install --user mypackage 将包安装到当前用户的存储库$HOME/.local/lib/pythonx.y/site-packages/。 选项 2 使用隔离环境,如virtualenv. 在这种情况下,您将拥有无限数量的工作环境(例如,对于每个项目,使用不同版本的 python),它们不会相互干扰。 包将$HOME/.virtualenvs/$ENVNAME/lib/pythonx.y/site-packages/与所需的 python 版本和第三方二进制文件一起存储在 中,环境切换是通过workon $ENVNAME. 像 PyCharm 这样的 IDE 可以感知虚拟环境并知道如何使用它们。 jfs 2020-04-10T23:30:49Z2020-04-10T23:30:49Z virtualenv 存在的主要原因是,如果您有需要不同版本库的 Python 包foo,它可以通过破坏系统包中需要旧版本的包来更新版本。barlibbazsudo pip install barlibbazfoo 假设场景但有真实的包:假设你安装了一个python-matplotlibUbuntu 包,你使用sudo pip. 乍一看,一切都很好,您已经成功构建了所需的时间表。几天后,你发现在中搜索书籍calibre开始不稳定(你无法找到用于查找它的查询的书籍)。花一些时间调试问题后,如果幸运的话,您可以将其定位为两者pyparsing中使用的模块版本的问题。calibrematplotlib 也就是说,问题sudo pip install matplotlib -U不是以 root 身份执行 PyPI 代码(从安全的角度来看,问题比 with 更严重sudo apt-get install python-matplotlib,但对于典型的开发人员而言并非如此——您甚至可以检查下载的 matplotlib 的 gpg 签名轮子,如果你愿意的话)。 问题在于,sudo pip难以诊断的问题可能是由为 apt-get 打包的软件包和 PyPI 版本的软件包的预期不匹配引起的。 这就是为什么应该特别独立的包,例如pip,pkg_resources使用它们的本地副本: <package>._vendor.pyparsing。 有时你可以采取激进的方法,将每个实用程序放在自己的 virtualenv 中,例如,使用pipx命令: $ pipx install youtube-dl 这使您可以在youtube-dl不接触系统上其他软件可能使用的软件包的情况下进行更新。相反,更新其他软件包不会破坏 youtube-dl 命令。 这种方法的缺点是,在修复依赖项中的安全漏洞时,必须在每个 virtualenv 中单独更新它。 本质上,通过使用sudo pip,您承担了您安装的所有包版本及其依赖项将与系统包管理器现在和将来安装的包兼容的责任。这通常是像 Ubuntu 这样的 Linux 发行版的创建者的工作——他们确保发行版中分发的包的版本可以相互工作。 通过安装pip install --user <package>,您不会破坏其他用户启动的程序。通过在 virtualenv 中安装,您可以将系统与可能的更改隔离开来,反之亦然(如果--system-site-packages在创建过程中未指定该选项)将 virtualenv 中的包与系统中的更改隔离开来。 为了方便管理 virtualenv,你可以virtualenvwrapper把. fellzo 2020-04-10T20:55:43Z2020-04-10T20:55:43Z 这不仅适用于 pip,使用 root 权限可能会执行可能损害系统的任意代码。 如果没有 root 无法安装某些包,那么可能只是错误地设置了 python 包目录的权限 gecube 2020-06-24T07:00:31Z2020-06-24T07:00:31Z 由于某种原因没有写出正确的答案 -sudo pip当需要将 python 包安装到系统范围的 python 安装时,人们很想使用它。同时,答案中上面写的一切都是真实的——这简直是危险的,你可以混淆系统上安装的 python 版本(通常 python2 和 python3 以及其他版本可以在同一个节点上共存) . 怎样成为?尽管如此,如果无法以任何方式避免 pip,那么对于初学者来说,请明确指出我们使用的是哪个版本的 python: python3 -m pip install ... 或者 python -m pip install ... 第二件重要的事情——如果你需要在系统 python 中安装一些东西——而不是pip install严格地建议使用操作系统的内置包管理器。为什么?因为它pip install没有在系统包管理器中规定任何东西,下次你更新系统时,你会得到一个大杂烩的包,或者它们将被简单地重写。 比如pip install docker我们不在on-debian-based,而是进入apt install python-docker(或者apt install python3-docker如果我们需要在第三个python的环境下安装包)。 在所有其他情况下,最好考虑通过pip --user install用户的本地环境或虚拟环境安装软件包。 此外,我可以补充一点,当使用pip install -r requirements.txtREGULARLY 时,会出现一个问题,根据包的安装顺序,pip 可以拖动不同版本的依赖包(例如,A 依赖 B 版本 10,但不高于 11, C 依赖于比 11 更新的 B - 因此我们有比 11 更新的 A、C 和 B 版本)。似乎正在进行工作以确保 pip 学会正确解决依赖关系(根据图表),但它们肯定还没有完成。
为什么不使用
sudo pip install?当你安装一个包时,你不只是把它放在你的文件系统上,你还执行一个
setup.py. 因为任何人都可以将包上传到 PyPI,所以您不能确定它setup.py不包含以 root 身份运行时不受欢迎/危险/不可接受的代码。就危险级别而言,这相当于在超级用户下“从云端”执行 shell 脚本:
怎样成为?
选项1
除非你绝对需要从
root-a下安装一个包,你可以使用将包安装到当前用户的存储库
$HOME/.local/lib/pythonx.y/site-packages/。选项 2
使用隔离环境,如
virtualenv. 在这种情况下,您将拥有无限数量的工作环境(例如,对于每个项目,使用不同版本的 python),它们不会相互干扰。包将
$HOME/.virtualenvs/$ENVNAME/lib/pythonx.y/site-packages/与所需的 python 版本和第三方二进制文件一起存储在 中,环境切换是通过workon $ENVNAME.像 PyCharm 这样的 IDE 可以感知虚拟环境并知道如何使用它们。
virtualenv 存在的主要原因是,如果您有需要不同版本库的 Python 包
foo,它可以通过破坏系统包中需要旧版本的包来更新版本。barlibbazsudo pip install barlibbazfoo假设场景但有真实的包:假设你安装了一个
python-matplotlibUbuntu 包,你使用sudo pip. 乍一看,一切都很好,您已经成功构建了所需的时间表。几天后,你发现在中搜索书籍calibre开始不稳定(你无法找到用于查找它的查询的书籍)。花一些时间调试问题后,如果幸运的话,您可以将其定位为两者pyparsing中使用的模块版本的问题。calibrematplotlib也就是说,问题
sudo pip install matplotlib -U不是以 root 身份执行 PyPI 代码(从安全的角度来看,问题比 with 更严重sudo apt-get install python-matplotlib,但对于典型的开发人员而言并非如此——您甚至可以检查下载的 matplotlib 的 gpg 签名轮子,如果你愿意的话)。问题在于,
sudo pip难以诊断的问题可能是由为 apt-get 打包的软件包和 PyPI 版本的软件包的预期不匹配引起的。这就是为什么应该特别独立的包,例如
pip,pkg_resources使用它们的本地副本:<package>._vendor.pyparsing。有时你可以采取激进的方法,将每个实用程序放在自己的 virtualenv 中,例如,使用
pipx命令:这使您可以在
youtube-dl不接触系统上其他软件可能使用的软件包的情况下进行更新。相反,更新其他软件包不会破坏 youtube-dl 命令。这种方法的缺点是,在修复依赖项中的安全漏洞时,必须在每个 virtualenv 中单独更新它。
本质上,通过使用
sudo pip,您承担了您安装的所有包版本及其依赖项将与系统包管理器现在和将来安装的包兼容的责任。这通常是像 Ubuntu 这样的 Linux 发行版的创建者的工作——他们确保发行版中分发的包的版本可以相互工作。通过安装
pip install --user <package>,您不会破坏其他用户启动的程序。通过在 virtualenv 中安装,您可以将系统与可能的更改隔离开来,反之亦然(如果--system-site-packages在创建过程中未指定该选项)将 virtualenv 中的包与系统中的更改隔离开来。为了方便管理 virtualenv,你可以
virtualenvwrapper把.这不仅适用于 pip,使用 root 权限可能会执行可能损害系统的任意代码。
如果没有 root 无法安装某些包,那么可能只是错误地设置了 python 包目录的权限
由于某种原因没有写出正确的答案 -
sudo pip当需要将 python 包安装到系统范围的 python 安装时,人们很想使用它。同时,答案中上面写的一切都是真实的——这简直是危险的,你可以混淆系统上安装的 python 版本(通常 python2 和 python3 以及其他版本可以在同一个节点上共存) . 怎样成为?尽管如此,如果无法以任何方式避免 pip,那么对于初学者来说,请明确指出我们使用的是哪个版本的 python:python3 -m pip install ...或者
python -m pip install ...第二件重要的事情——如果你需要在系统 python 中安装一些东西——而不是
pip install严格地建议使用操作系统的内置包管理器。为什么?因为它pip install没有在系统包管理器中规定任何东西,下次你更新系统时,你会得到一个大杂烩的包,或者它们将被简单地重写。比如
pip install docker我们不在on-debian-based,而是进入apt install python-docker(或者apt install python3-docker如果我们需要在第三个python的环境下安装包)。在所有其他情况下,最好考虑通过
pip --user install用户的本地环境或虚拟环境安装软件包。此外,我可以补充一点,当使用
pip install -r requirements.txtREGULARLY 时,会出现一个问题,根据包的安装顺序,pip 可以拖动不同版本的依赖包(例如,A 依赖 B 版本 10,但不高于 11, C 依赖于比 11 更新的 B - 因此我们有比 11 更新的 A、C 和 B 版本)。似乎正在进行工作以确保 pip 学会正确解决依赖关系(根据图表),但它们肯定还没有完成。