Python 对比 JS

简体中文

English

简体中文

English

Appearance

Python vs. JavaScript: 依赖管理对比指南

依赖管理是现代软件开发的基石,它确保了项目的可复现性、可维护性和协作效率。本文档将深入对比 Python 和 JavaScript 在依赖管理方面的核心哲学、工具链和演进路径。

参考资料:

核心哲学与概念对比

  • JavaScript: 很早就通过 npmpackage.json 确立了一个中心化的、事实上的标准工作流。其核心理念是项目本地化依赖,每个项目都在其 node_modules 目录中拥有独立的依赖副本,从根本上解决了"依赖地狱"问题。

  • Python: 依赖管理体系经历了更长的演进过程。从传统的 pip + requirements.txt 模式,逐渐向现代化的、由 pyproject.toml 文件驱动的一体化工具(如 Poetry, PDM, Rye)演进,追赶现代前端开发的体验。

概念 (Concept)PythonJavaScript
清单文件 (Manifest)pyproject.toml (现代) / requirements.txt (传统)package.json
锁文件 (Lock File)poetry.lock, pdm.lock, rye.lockpackage-lock.json, yarn.lock, pnpm-lock.yaml
包仓库 (Registry)PyPI (Python Package Index)npm registry
命令行工具 (CLI)pip (基础) / poetry, pdm, hatch, rye (一体化)npm, yarn, pnpm
环境隔离需要手动创建 (venv)内置于机制中 (node_modules 目录)

PyPI:Python 的 npmjs.com

是的,Python 有一个与 npmjs.com 完全对等的官方、中心化的包仓库,它就是 PyPI (The Python Package Index),你可以通过访问 pypi.org 来浏览。

  • 角色与功能: PyPI 是 Python 社区的"官方超市"。它托管了由全球开发者创建和分享的数十万个第三方库和应用程序。当你需要一个特定功能的包时,这里是你第一个应该寻找的地方。

  • 与工具的交互:

    • 当你运行 pip install requests 时,pip 默认就是去 PyPI 的服务器上查找、下载并安装 requests 包。
    • Poetry, PDM 这样的现代工具,在解析和下载依赖时,也默认将 PyPI 作为它们的主要或首要包源。
    • 当开发者完成一个自己的 Python 包并希望分享给全世界时,他们也是通过 twinepoetry publish 等工具将包上传到 PyPI。

因此,在功能和生态位上,PyPI 对于 Python 就如同 npmjs.com 对于 JavaScript,它们都是各自生态系统的基石。

1. JavaScript 模型: npmpackage.json

JavaScript 的依赖管理模型成熟且高度统一。

  • package.json: 项目的"身份证"。这个 JSON 文件定义了:

    • 元数据: 项目名称、版本、作者等。
    • dependencies: 生产环境运行所必需的包。
    • devDependencies: 仅在开发和测试时需要的包(如 linter, 测试框架)。
    • scripts: 可运行的命令行脚本别名(如 npm run dev)。

  • node_modules 目录:

    • 当你运行 npm install 时,所有在 package.json 中列出的依赖(及其子依赖)都会被下载到项目根目录下的 node_modules 文件夹中。
    • 这种本地化安装是 JS 依赖管理的核心优势,它确保了每个项目都有自己独立的依赖环境,互不干扰。

  • package-lock.json:

    • 为了保证可复现构建npm install 会自动生成或更新 package-lock.json
    • 这个文件锁定了整个依赖树(包括所有子依赖)的确切版本号。这意味着,任何团队成员在任何时间、任何机器上运行 npm install,都会得到完全相同的 node_modules 结构。

  • 工作流示例:

    bash
    # 初始化一个新项目
npm init -y

# 添加一个生产依赖 (例如 express)
npm install express

# 添加一个开发依赖 (例如 jest)
npm install --save-dev jest

# 从 lock 文件安装所有依赖
npm install

2. Python 模型: 从分散到统一

传统方式: pip + requirements.txt

这是 Python 长期以来的标准做法,但存在一些根本性问题。

  • 工作流:

    1. pip install requests: 安装一个包。
    2. pip freeze > requirements.txt: 将当前环境中所有已安装的包(包括子依赖)及其版本号"冻结"到一个文本文件中。
    3. pip install -r requirements.txt: 在另一台机器上安装所有列出的包。

  • 缺陷:

    • 无法区分直接与间接依赖: requirements.txt 是一个扁平列表,你无法知道哪些包是你项目直接需要的,哪些是作为依赖的依赖被安装的。
    • 无法保证子依赖版本: 它只锁定了顶层依赖的版本。如果子依赖发布了新的、不兼容的版本,可能会在不同时间或不同机器上导致构建失败,破坏了可复现性。
    • 无哈希校验: requirements.txt 不包含文件哈希,存在安全风险。

环境隔离的必要性: venv

由于 Python 默认将包装在全局环境中,为了避免项目间的依赖冲突,创建虚拟环境是 Python 开发中必不可少的第一步

bash
# 创建一个名为 .venv 的虚拟环境
python -m venv .venv

# 激活虚拟环境 (macOS/Linux)
source .venv/bin/activate

# 在此之后,所有 pip 安装都将局限于 .venv 目录内
pip install ...

这与 JS 的 node_modules 提供的自动项目级隔离形成了鲜明对比。

venv 如何解决依赖冲突:隔离的艺术

venv之所以能有效避免项目间的依赖冲突,其核心在于创建了一个独立的、自包含的 Python 运行环境。这就像是为每个项目都配备了一个专属的、隔离的"工具箱",而不是让所有项目都去一个公共的、杂乱的工具箱里找工具。

它的工作原理可以分解为以下几个关键步骤:

  1. 创建隔离目录: 当你运行 python -m venv .venv 时,venv 会在你的项目下创建一个 .venv 目录。这个目录里包含了:

    • 一份 Python 解释器的副本或符号链接。
    • 一个独立的 site-packages 目录,用于存放此项目专属的第三方库。
    • 一些激活脚本(如 activate)。

  2. 激活环境 (activate): activate 脚本是整个机制的关键。当你运行 source .venv/bin/activate 时,它会巧妙地修改你当前终端会话的 PATH 环境变量,将 .venv/bin 这个目录放到 PATH 的最前面。

  3. 重定向命令:

    • PATH 被修改后,当你在终端输入 pythonpip 时,系统会优先使用位于 .venv/bin 目录下的版本,而不是全局系统中的版本。
    • 这意味着你所使用的 pip 正是这个虚拟环境专属的 pip

  4. 实现依赖隔离:

    • 由于你使用的是虚拟环境中的 pip,因此 pip install <package> 命令会将包安装到 .venv/lib/pythonX.X/site-packages/ 这个本地目录中。
    • 完全不会触及你系统全局的 site-packages 目录,也不会影响任何其他项目的环境。

结论: 通过这种方式,项目 A 可以安装 requests==2.20.0,而项目 B 可以在自己的 venv 环境中安装 requests==2.28.0,两者各自拥有独立的 requests 包副本,互不干扰,从而完美地解决了依赖冲突问题。

一个项目,一个环境:最佳实践

为每个独立的项目创建一个全新的、专用的虚拟环境,是 Python 开发的核心最佳实践

如果你的机器上有项目 A、项目 B 和项目 C,那么你的文件系统上就应该有三个独立的虚拟环境分别对应这三个项目。这种做法是解决"依赖地狱"的根本。

为什么这是必须的?

设想一个场景:

  • 项目 A 是一个旧的维护项目,它依赖于 Django==3.2
  • 项目 B 是一个新项目,你希望使用最新的 Django==4.1

如果没有虚拟环境,这两个项目将共享全局的 Python 包。你无法同时安装两个不同版本的 Django。每次切换项目,你都必须卸载一个版本再安装另一个,这完全是场灾难。

通过为每个项目创建独立的 venv,项目 A 的 venv 中安装的是 Django 3.2,项目 B 的 venv 中是 Django 4.1,它们被隔离在各自的 site-packages 目录中,相安无事。

如何管理多个虚拟环境?

主要有两种流行的策略:

  1. 在项目目录中创建 (推荐) 这是最常见、最直接的方式。你直接在你的项目根目录下创建 venv 目录,并通常命名为 .venv

    /path/to/my/projects/
├── project_A/
│   ├── .venv/         <-- 项目A的虚拟环境
│   └── ... (项目A的代码)
└── project_B/
    ├── .venv/         <-- 项目B的虚拟环境
    └── ... (项目B的代码)

    优点:

    • 自包含: 项目和它的环境绑定在一起,易于管理。
    • 易于排除: 在 Git 中,只需将 .venv/ 添加到 .gitignore 文件即可。
    • IDE 友好: 像 VS Code 或 PyCharm 这样的 IDE 能自动检测到项目内的 .venv 目录并将其设置为解释器。

  2. 集中式管理 另一种策略是将所有虚拟环境都存放在一个统一的家目录中(例如 ~/.virtualenvs/)。然后通过一些辅助工具来方便地创建、删除和切换环境。

    • virtualenvwrapper 是一个经典的工具,它提供了一些便捷的命令,如 mkvirtualenv myproject (创建) 和 workon myproject (切换)。

    优点:

    • 项目目录干净: 项目的源代码目录中不会出现 .venv 文件夹。

无论你选择哪种方式,其核心思想不变:一个项目,一个隔离的环境

现代方式: pyproject.toml 与一体化工具

受现代前端工具链的启发,Python 社区近年来大力推动了依赖管理的现代化,其核心是 PEP 621 定义的 pyproject.toml 文件。

  • pyproject.toml:

    • 这是 Python 项目的新标准配置文件,旨在统一取代 setup.py, requirements.txt, setup.cfg 等多个文件。
    • 它用于定义项目的元数据、构建系统信息以及项目依赖,是 package.json 的直接对等物。

  • 一体化工具: 这些工具将虚拟环境管理、依赖解析、锁定、打包和发布等功能整合到一个统一的 CLI 中,提供了类似 npm 的开发体验。它们都使用 pyproject.toml 作为清单文件。

    • Poetry: 最早的流行者之一,以其强大的依赖解析器和友好的用户界面闻名,但有时在遵循官方 PEP 标准方面比较慢。
    • PDM: 严格遵循最新的 PEP 标准,支持 PEP 582,可以在没有虚拟环境的情况下工作(使用 __pypackages__ 目录,类似 node_modules)。
    • Hatch: 由 PyPA(Python 打包官方机构)维护,与构建后端集成良好,特别适合库的作者。
    • Rye: 由 Flask 的作者 Armin Ronacher 创建的一个更具主见的"全家桶"工具,它不仅管理依赖,还负责安装和管理 Python 版本本身,提供了高度集成的体验。

  • 现代工作流示例 (以 Poetry 为例):

    bash
    # 初始化一个新项目 (会自动创建 pyproject.toml 和虚拟环境)
poetry new my_project

# 进入项目目录
cd my_project

# 添加一个依赖 (会自动更新 pyproject.toml 并生成 poetry.lock)
poetry add requests

# 从 lock 文件安装所有依赖
poetry install

# 在项目的虚拟环境中运行命令
poetry run python my_app.py

Poetry 的环境管理:依赖安装在哪里?

这是一个非常关键的问题,也是 Poetry 设计哲学的一部分。与手动运行 python -m venv .venv 不同,Poetry 对虚拟环境的管理提供了两种策略:

1. 默认策略:集中式管理

默认情况下,当你运行 poetry installpoetry add 时,Poetry 不会在你的项目目录中创建 .venv 文件夹。相反,它会在一个统一的、位于项目外部的中央目录中为你的项目创建一个专属的虚拟环境。

  • 路径通常位于:
    • macOS: ~/Library/Caches/pypoetry/virtualenvs
    • Linux/WSL: ~/.cache/pypoetry/virtualenvs
    • Windows: %APPDATA%\pypoetry\virtualenvs

优点:

  • 项目目录干净: 你的项目源代码目录保持整洁,不包含虚拟环境文件。这对于库的开发者来说尤其友好。
  • 统一管理: 所有由 Poetry 管理的环境都在一个地方,方便清理和查看。

如何使用这个环境? 由于环境不在项目本地,你需要通过 Poetry 的命令来与它交互:

  • poetry run <command>: 这是最常用的方式。它会在 Poetry 为当前项目管理的虚拟环境中执行指定的命令。例如, poetry run python my_app.pypoetry run pytest
  • poetry shell: 这会直接激活当前项目的虚拟环境,让你进入一个已经配置好环境的 shell 会话中,后续可以直接运行 pythonpip 等命令。

2. 可选策略:在项目内创建 `.venv

如果你更喜欢像 npm 或手动 venv 那样,将虚拟环境和项目文件放在一起,Poetry 也完全支持。你只需执行一条配置命令:

bash
poetry config virtualenvs.in-project true

这条命令会将 Poetry 的配置改为"在项目内部创建虚拟环境"。设置之后,当你再次为一个新项目运行 poetry install 时,它就会在项目根目录下创建一个熟悉的 .venv 文件夹,并将所有依赖安装进去。

优点:

  • 环境自包含: 虚拟环境与项目代码物理上绑定,便于理解和查找。
  • IDE 自动检测: 像 VS Code 或 PyCharm 这样的 IDE 能非常方便地自动检测到项目内的 .venv 目录并将其用作解释器。

总结: Poetry 提供了灵活的环境管理策略。默认的集中式管理保持了项目目录的整洁,而可选的项目内创建则提供了更传统和直观的体验。你可以根据个人或团队的偏好选择最适合的方式。

清理与管理 Poetry 环境

随着项目增多,你可能会需要查看、管理或删除由 Poetry 创建的这些虚拟环境。Poetry 提供了一套简洁的 env 命令来完成这些操作。

1. 列出项目关联的环境

要查看 Poetry 为当前项目创建了哪些虚拟环境,可以使用 env list 命令:

bash
poetry env list

输出可能会像这样,其中一个会被标记为 (Activated)

text
my-project-LNaP_o8l-py3.9 (Activated)
my-project-LNaP_o8l-py3.10

2. 获取环境的详细信息

如果你想知道某个环境的具体路径或其他信息,可以使用 env info

bash
poetry env info

这会显示当前激活环境的 Python 版本、路径等详细信息。

3. 移除特定的虚拟环境

这是清理操作的核心。你可以使用 env remove 命令,后跟环境的标识来删除它。这个标识可以是 poetry env list 中显示的全名,也可以是 Python 的版本号。

bash
# 通过完整的环境名称删除
poetry env remove my-project-LNaP_o8l-py3.10

# 或者更方便地通过 Python 版本号删除
poetry env remove python3.10
# 或者简写
poetry env remove 3.10

4. 移除所有关联的环境

如果你想一次性删除 Poetry 为当前项目创建的所有虚拟环境,可以使用 --all 标志:

bash
poetry env remove --all

**对于在项目内创建的 .venv**: 如果你使用了 virtualenvs.in-project = true配置,那么清理就更直接了:你既可以进入项目目录运行poetry env remove python,也可以像处理普通 venv一样,直接删除项目根目录下的.venv` 文件夹。不过,使用命令依然是更规范的方式。

工具 vs. 库:pippipx 的分工

到目前为止,我们讨论的 pipvenv 主要用于管理项目内部的依赖库。但还有一种常见场景:如果你想安装一个用 Python 编写的命令行工具(如 black, ruff, httpie),并希望能在系统的任何地方都能调用它,该怎么办?

传统方式的问题 直接使用 pip install black 将其安装到全局环境是一种糟糕的做法,因为它会:

  1. 污染全局环境black 及其所有依赖都会进入你的全局 Python 环境。
  2. 依赖冲突:如果你想安装另一个全局工具 tool_B,而它依赖于一个与 black 不兼容的库版本,那么你就会陷入依赖冲突的困境。

解决方案:pipxpipx 是一个专门为此场景设计的工具。它的核心理念是:安全地将 Python 命令行应用安装在隔离的环境中,同时又能全局调用它们

pipx 的工作原理: 当你运行 pipx install black 时,pipx 会在后台:

  1. black 自动创建一个全新的、独立的虚拟环境,这个环境位于 ~/.local/pipx/venvs/
  2. 在这个专属环境中安装 black 及其所有依赖。
  3. black 命令的可执行文件链接到一个位于你系统 PATH 上的通用目录 (~/.local/bin/)。

这完美地结合了隔离与便利

  • 每个工具都生活在自己的 venv "气泡"里,绝不会与其他工具或你的项目产生依赖冲突。
  • 你可以在任何终端里直接运行 black,就像运行普通系统命令一样。

一个清晰的类比:

  • pip:是用来在你的项目 venv 中安装库 (libraries) 的。这些是你代码中要 import 的东西,可以看作是做菜用的食材
  • pipx:是用来为你个人安装工具 (applications) 的。这些是你直接在命令行中运行的东西,可以看作是你厨房里的电器(如代码格式化器 black、HTTP 客户端 httpie)。每件电器都有自己独立的内部零件,你不会把它们的零件混在一起。

临时运行:pipx runpipx 还提供了一个 run 命令,其行为非常类似于 npx。它允许你在一个临时的虚拟环境中下载并运行一个 Python 应用,而无需永久安装它。

bash
# 临时运行一个创建项目脚手架的工具,用完即焚
pipx run cookiecutter https://github.com/audreyfeldroy/cookiecutter-pypackage

这种方式非常适合一次性使用的脚本或想要尝试某个新工具的场景。

总结与核心差异

  1. 环境隔离: Python 需要开发者手动使用 venv 等工具创建和管理隔离环境(尽管 Poetry 等工具简化了此过程)。JavaScript 的 node_modules 机制是内置且自动的。

  2. 工具链: JavaScript 有一个强大的事实标准 npm(以及 yarn, pnpm 等流行的替代品)。Python 的 pip 是底层基础,而现代化的工作流则依赖于 Poetry, PDM, Hatch, Rye 等多个并存且各有侧重的上层管理工具

  3. 演进状态: JavaScript 很早就形成了成熟的依赖管理模式。Python 则是在近几年通过 pyproject.toml 的标准化,才真正开始统一其现代化的依赖管理生态,为开发者提供了与前端世界相媲美的流畅体验。开发者可以根据项目需求选择最适合的工具。