Publication de confiance ‐ Il n'a jamais été aussi simple de publier vos packages Python

Publier des packages Python était une tâche ardue, mais ce n'est plus le cas. Mieux encore, il est devenu nettement plus sécurisé. Il est révolu le temps où il fallait jongler avec les noms d'utilisateur, les mots de passe ou les jetons API tout en s'appuyant sur les outils CLI. Avec la publication fiable, vous fournissez simplement à PyPI les détails de votre référentiel GitHub, et GitHub Actions se charge du gros du travail.

Comment publier votre package Python avec Trusted Publishing

Je vais présenter un workflow qui publiera votre package sur TestPyPi lorsqu'une balise est créée (sur la branche de développement), ou sur PyPi lorsque vous fusionnez avec la branche principale.

Préparez votre package pour la publication

Assurez-vous que votre package Python respecte les directives d'emballage de PyPI. Au minimum, vous aurez besoin de :

• Un fichier setup.py ou pyproject.toml définissant les métadonnées de votre package.
• Code correctement structuré avec une disposition de répertoire claire.
• Un fichier README pour présenter votre projet sur PyPI.

Pour une liste de contrôle détaillée, reportez-vous au Guide de l'utilisateur de Python Packaging.

Configurez les actions GitHub dans votre référentiel

Commençons par créer une nouvelle action GitHub .github/workflows/test-build-publish.yml.

name: test-build-publish

on: [push, pull_request]

permissions:
  contents: read

jobs:

  build-and-check-package:
    name: Build & inspect our package.
    runs-on: ubuntu-latest

    steps:
      - uses: actions/checkout@v4
      - uses: hynek/build-and-inspect-python-package@v2

Cette action construira votre package et téléchargera la roue construite et la distribution source (SDist) en tant qu'artefacts GitHub Actions.

Ensuite, nous ajoutons une étape pour publier sur TestPyPI. Cette étape s'exécutera chaque fois qu'une balise est créée, garantissant ainsi que la construction de l'étape précédente s'est terminée avec succès. Remplacez PROJECT_OWNER et PROJECT_NAME par les valeurs appropriées pour votre référentiel.

  test-publish:
    if: >-
        github.event_name == 'push' &&
        github.repository == 'PROJECT_OWNER/PROJECT_NAME' &&
        startsWith(github.ref, 'refs/tags')
    needs: build-and-check-package
    name: Test publish on TestPyPI
    runs-on: ubuntu-latest
    environment: test-release
    permissions:
      id-token: write
    steps:
      - name: Download packages built by build-and-check-package
        uses: actions/download-artifact@v4
        with:
          name: Packages
          path: dist

      - name: Upload package to Test PyPI
        uses: pypa/gh-action-pypi-publish@release/v1
        with:
          repository-url: https://test.pypi.org/legacy/

Cette étape télécharge les artefacts créés pendant le processus de construction et les télécharge sur TestPyPI pour les tests.

Dans la dernière étape, nous téléchargerons le package sur PyPI lorsqu'une pull request sera fusionnée dans la branche principale.

  publish:
    if: >-
      github.event_name == 'push' &&
      github.repository == 'PROJECT_OWNER/PROJECT_NAME' &&
      github.ref == 'refs/heads/main'
    needs: build-and-check-package
    name: Publish to PyPI
    runs-on: ubuntu-latest
    environment: release
    permissions:
      id-token: write
    steps:
      - name: Download packages built by build-and-check-package
        uses: actions/download-artifact@v4
        with:
          name: Packages
          path: dist

      - name: Publish distribution ? to PyPI for push to main
        uses: pypa/gh-action-pypi-publish@release/v1

Configurer les environnements GitHub

Pour garantir que seules des balises spécifiques déclenchent le flux de publication et garder le contrôle sur votre processus de publication.
Créez une nouvelle version de test d'environnement en accédant à Paramètres -> Environnements dans votre référentiel GitHub.

Configurez l'environnement et ajoutez une règle de balise de déploiement.

Limitez les branches et les balises qui peuvent être déployées dans cet environnement en fonction de règles ou de modèles de dénomination.

Limiter les branches et les balises pouvant être déployées dans cet environnement en fonction de modèles de dénomination.

Configurez les balises cibles.

Le modèle [0-9]*.[0-9]*.[0-9]* correspond aux balises de version sémantique telles que 1.2.3, 0.1.0 ou 2.5.1b3, mais il exclut les balises arbitraires comme bugfix-567 ou mise à jour des fonctionnalités.

Répétez ceci pour l'environnement de publication afin de protéger la branche principale de la même manière, mais cette fois en ciblant la branche principale.

Configurez un projet PyPI et liez votre référentiel GitHub

Créez un compte sur TestPyPI si vous n'en avez pas.
Accédez à votre compte, Publication et ajoutez un nouvel éditeur en attente.
Liez votre référentiel GitHub au projet PyPI en fournissant son nom, votre nom d'utilisateur GitHub, le nom du référentiel, le nom du workflow (test-build-publish.yml) et le nom de l'environnement (test-release).

Répétez ce qui précède sur PyPI avec le nom de l'environnement défini sur release.

Testez le flux de travail

Maintenant, chaque fois que vous créez une balise sur votre branche de développement, cela déclenchera le téléchargement d'une version sur TestPyPI et la fusion de la branche de développement dans main téléchargera une version sur PyPI.

Ce qui n'était pas couvert

Bien que ce guide fournisse une introduction aux flux de publication fiables, il existe des étapes supplémentaires et des bonnes pratiques que vous pourriez envisager de mettre en œuvre. Par exemple, la configuration de règles de protection des branches peut garantir que seuls les collaborateurs autorisés peuvent pousser des balises ou fusionner avec des branches protégées, comme main ou development. Vous pouvez également appliquer des contrôles de statut ou exiger des examens de demandes d'extraction avant la fusion, ajoutant ainsi une autre couche d'assurance qualité.

Jetez un œil à mon modèle de référentiel python qui couvre des améliorations supplémentaires de ce flux de travail, telles que l'exigence de réussite des tests unitaires et statiques, la vérification du package avec pyroma et la garantie que votre balise correspond à la version de votre package avec vercheck.

Résumé

Si vous avez hésité à partager votre travail, c'est le moment idéal pour essayer la publication de confiance.

• Présentation des « Éditeurs de confiance » Le blog Python Package Index met en avant une méthode de publication plus sécurisée qui ne nécessite pas le partage de mots de passe à longue durée de vie ou de jetons API avec des systèmes externes
• Publication sur PyPI avec un éditeur de confiance La documentation officielle de PyPI pour commencer à utiliser des éditeurs de confiance sur PyPI.
• Construire et tester Python dans la documentation officielle de GitHub.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!