Pour ma part, j'essaie toujours de coller (et utiliser) au maximum les paquets python de ma distrib (Debian pour ne pas la citer), et de n'installer que le minimum supplémentaire lorsque cela est nécessaire (installation d'un logiciel python avec des dépendances pas toutes présentes dans ma distrib).
Ma raison, c'est que j'aime bien que apt upgrade fasse l'essentiel du travail de mises à jour de sécurité. Il y a des gens qui surveillent ce qui se passe pour les logiciels de ma distrib, j'aime bien leur faire confiance. Évidemment, avec des logiciels/dépendances externes, c'est plus compliqué, il faut faire plus de veille (et donc ça demande plus de boulot de maintenance/administration).
J'évite généralement les venv ou virtualenv ou conda ou ... : ça installe trop de chose en double (au moins). Évidemment, je sais ce que je fais, et je sais que je peux arriver sur des problèmes difficilement solvables sans ses outils. Mais tant que ce n'est pas le cas, j'évite.
En pratique, j'essaie de trouver les dépendances nécessaires. J'installe en priorité celles de ma distrib. J'installe les manquantes sur un compte utilisateur (surtout pas dans /usr ou /usr/local) avec (de mémoire) pip install --user --break-system-packages paquet
Je regarde alors ce qui est installé. Si des sous-dépendances ont été tirées, je les vire (rm .local/lib/python3.11/site-packages/...), j'installe leur version packagée et je recommence avec pip.
Ça me permet souvent de minimiser les paquets installés avec pip (uniquement ceux non présents dans ma distrib) mais ça veut dire que je n'utilise pas forcément une combinaison de versions très testée par le développeur ou les autres utilisateurs (même si cette combinaison respecte des infos de dépendance).
# environnement, système et sécurité
Posté par Vincent Danjean . En réponse à la dépêche L’installation et la distribution de paquets Python (1/4). Évalué à 5.
Pour ma part, j'essaie toujours de coller (et utiliser) au maximum les paquets python de ma distrib (Debian pour ne pas la citer), et de n'installer que le minimum supplémentaire lorsque cela est nécessaire (installation d'un logiciel python avec des dépendances pas toutes présentes dans ma distrib).
Ma raison, c'est que j'aime bien que
apt upgradefasse l'essentiel du travail de mises à jour de sécurité. Il y a des gens qui surveillent ce qui se passe pour les logiciels de ma distrib, j'aime bien leur faire confiance. Évidemment, avec des logiciels/dépendances externes, c'est plus compliqué, il faut faire plus de veille (et donc ça demande plus de boulot de maintenance/administration).J'évite généralement les venv ou virtualenv ou conda ou ... : ça installe trop de chose en double (au moins). Évidemment, je sais ce que je fais, et je sais que je peux arriver sur des problèmes difficilement solvables sans ses outils. Mais tant que ce n'est pas le cas, j'évite.
En pratique, j'essaie de trouver les dépendances nécessaires. J'installe en priorité celles de ma distrib. J'installe les manquantes sur un compte utilisateur (surtout pas dans /usr ou /usr/local) avec (de mémoire)
pip install --user --break-system-packages paquetJe regarde alors ce qui est installé. Si des sous-dépendances ont été tirées, je les vire (
rm .local/lib/python3.11/site-packages/...), j'installe leur version packagée et je recommence avec pip.Ça me permet souvent de minimiser les paquets installés avec pip (uniquement ceux non présents dans ma distrib) mais ça veut dire que je n'utilise pas forcément une combinaison de versions très testée par le développeur ou les autres utilisateurs (même si cette combinaison respecte des infos de dépendance).