Penerbitan yang dipercayai ‐ Tidak pernah semudah ini untuk menerbitkan pakej python anda

Menerbitkan pakej Python pernah menjadi tugas yang sukar, tetapi tidak lagi. Lebih baik lagi, ia telah menjadi jauh lebih selamat. Sudah berlalu hari untuk menukar nama pengguna, kata laluan atau token API sambil bergantung pada alatan CLI. Dengan penerbitan yang dipercayai, anda hanya menyediakan PyPI dengan butiran repositori GitHub anda dan GitHub Actions menguruskan pengangkatan berat.

Cara Menerbitkan Pakej Python Anda dengan Penerbitan Dipercayai

Saya akan memperkenalkan aliran kerja yang akan menerbitkan pakej anda kepada TestPyPi apabila teg dibuat (pada cawangan pembangunan), atau kepada PyPi apabila anda bergabung ke cawangan utama.

Sediakan Pakej Anda untuk Penerbitan

Pastikan pakej Python anda mengikut garis panduan pembungkusan PyPI. Sekurang-kurangnya, anda memerlukan:

• Fail setup.py atau pyproject.toml yang mentakrifkan metadata pakej anda.
• Kod berstruktur dengan betul dengan reka letak direktori yang jelas.
• Fail README untuk mempamerkan projek anda di PyPI.

Untuk senarai semak terperinci, rujuk Panduan Pengguna Pembungkusan Python.

Konfigurasikan Tindakan GitHub dalam Repositori Anda

Mari mulakan dengan mencipta tindakan GitHub baharu .github/workflows/test-build-publish.yml.

name: test-build-publish

on: [push, pull_request]

permissions:
  contents: read

jobs:

  build-and-check-package:
    name: Build & inspect our package.
    runs-on: ubuntu-latest

    steps:
      - uses: actions/checkout@v4
      - uses: hynek/build-and-inspect-python-package@v2

Tindakan ini akan membina pakej anda dan memuat naik roda terbina dan pengedaran sumber (SDist) sebagai artifak GitHub Actions.

Seterusnya, kami menambah langkah untuk menerbitkan ke TestPyPI. Langkah ini akan dijalankan setiap kali teg dibuat, memastikan binaan daripada langkah sebelumnya telah berjaya diselesaikan. Gantikan PROJECT_OWNER dan PROJECT_NAME dengan nilai yang sesuai untuk repositori anda.

  test-publish:
    if: >-
        github.event_name == 'push' &&
        github.repository == 'PROJECT_OWNER/PROJECT_NAME' &&
        startsWith(github.ref, 'refs/tags')
    needs: build-and-check-package
    name: Test publish on TestPyPI
    runs-on: ubuntu-latest
    environment: test-release
    permissions:
      id-token: write
    steps:
      - name: Download packages built by build-and-check-package
        uses: actions/download-artifact@v4
        with:
          name: Packages
          path: dist

      - name: Upload package to Test PyPI
        uses: pypa/gh-action-pypi-publish@release/v1
        with:
          repository-url: https://test.pypi.org/legacy/

Langkah ini memuat turun artifak yang dibuat semasa proses binaan dan memuat naiknya ke TestPyPI untuk ujian.

Dalam langkah terakhir, kami akan memuat naik pakej ke PyPI apabila permintaan tarik digabungkan ke dalam cawangan utama.

  publish:
    if: >-
      github.event_name == 'push' &&
      github.repository == 'PROJECT_OWNER/PROJECT_NAME' &&
      github.ref == 'refs/heads/main'
    needs: build-and-check-package
    name: Publish to PyPI
    runs-on: ubuntu-latest
    environment: release
    permissions:
      id-token: write
    steps:
      - name: Download packages built by build-and-check-package
        uses: actions/download-artifact@v4
        with:
          name: Packages
          path: dist

      - name: Publish distribution ? to PyPI for push to main
        uses: pypa/gh-action-pypi-publish@release/v1

Konfigurasikan Persekitaran GitHub

Untuk memastikan bahawa hanya teg tertentu mencetuskan aliran kerja penerbitan dan mengekalkan kawalan ke atas proses keluaran anda.
Cipta keluaran ujian persekitaran baharu dengan menavigasi ke Tetapan -> Persekitaran dalam repositori GitHub anda.

Sediakan persekitaran dan tambahkan peraturan teg penempatan.

Hadkan cawangan dan teg yang boleh digunakan pada persekitaran ini berdasarkan peraturan atau corak penamaan.

Hadkan cawangan dan teg yang boleh digunakan pada persekitaran ini berdasarkan corak penamaan.

Konfigurasikan tag sasaran.

Corak [0-9]*.[0-9]*.[0-9]* sepadan dengan teg versi semantik seperti 1.2.3, 0.1.0 atau 2.5.1b3, tetapi ia mengecualikan teg arbitrari seperti pembetulan pepijat-567 atau kemas kini ciri.

Ulangi ini untuk persekitaran keluaran untuk melindungi cawangan utama dengan cara yang sama, tetapi kali ini menyasarkan cawangan utama.

Sediakan Projek PyPI dan Pautkan Repositori GitHub Anda

Buat akaun di TestPyPI jika anda tidak mempunyai akaun.
Navigasi ke akaun anda, Penerbitan dan tambah penerbit baharu yang belum selesai.
Pautkan repositori GitHub anda kepada projek PyPI dengan memberikan namanya, nama pengguna GitHub anda, nama repositori, nama aliran kerja (test-build-publish.yml) dan nama persekitaran (test-release).

Ulang perkara di atas pada PyPI dengan nama persekitaran ditetapkan untuk dikeluarkan.

Uji Aliran Kerja

Kini apabila anda membuat teg pada cawangan pembangunan anda, ia akan mencetuskan keluaran untuk dimuat naik ke TestPyPI dan menggabungkan cawangan pembangunan menjadi utama akan memuat naik keluaran ke PyPI.

Apa yang Tidak Dilindungi

Walaupun panduan ini menyediakan pengenalan kepada aliran kerja penerbitan yang dipercayai, terdapat langkah tambahan dan amalan terbaik yang mungkin anda pertimbangkan untuk dilaksanakan. Contohnya, menyediakan peraturan perlindungan cawangan boleh memastikan hanya kolaborator yang diberi kuasa boleh menolak teg atau bergabung ke cawangan yang dilindungi, seperti utama atau pembangunan. Anda juga boleh menguatkuasakan semakan status atau memerlukan semakan permintaan tarik sebelum bergabung, menambah satu lagi lapisan jaminan kualiti.

Sila lihat templat repositori python saya yang merangkumi peningkatan tambahan pada aliran kerja ini, seperti memerlukan ujian unit dan statik untuk lulus, menyemak pakej dengan pyroma dan memastikan teg anda sepadan dengan versi pakej anda dengan vercheck.

Ringkasan

Jika anda telah menahan diri untuk berkongsi kerja anda, sekarang adalah masa yang sesuai untuk mencuba penerbitan yang dipercayai.

• Memperkenalkan 'Penerbit Dipercayai' Blog Indeks Pakej Python menyerlahkan kaedah penerbitan yang lebih selamat yang tidak memerlukan kata laluan tahan lama atau token API untuk dikongsi dengan sistem luaran
• Menerbitkan ke PyPI dengan Penerbit Dipercayai Dokumentasi rasmi PyPI untuk mula menggunakan penerbit yang dipercayai di PyPI.
• Membina dan menguji Python dalam dokumen GitHub rasmi.

Atas ialah kandungan terperinci Penerbitan yang dipercayai ‐ Tidak pernah semudah ini untuk menerbitkan pakej python anda. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!