python - 我需要验证诗歌.lock 文件吗？

Question

我使用poetry.lock文件作为我的构建链中的真相来源，所以我想确保它始终可靠。或者换句话说，鉴于我的依赖项都没有发布新版本，添加和删除依赖项是否会在锁定文件中积累不必要的工件？

特别是，在删除依赖项后，我有时会删除锁定文件并使用poetry lock重新生成它作为谨慎措施，但注意到结果始终与我想要的结果相同刚刚删除。这仅仅是偶然，还是必然的行为？

Answer 1

这不是保证行为。例如，在我们的一个项目中，pyproject.toml 中有以下内容:

[tool.poetry.dependencies]
django-storages = {version = "1.7.1",extras = ["boto3"]}

当我现在在这个项目上运行poetry lock时，生成的差异如下所示，因为我们只指定我们想要的django-storages版本，但是不是应该使用哪个版本的 boto3:

diff --git a/poetry.lock b/poetry.lock
index 6d542df..0ec8d23 100644
--- a/poetry.lock
+++ b/poetry.lock
@@ -77,10 +77,10 @@ marker = "extra == \"boto3\""
 name = "boto3"
 optional = false
 python-versions = "*"
-version = "1.9.189"
+version = "1.9.191"

 [package.dependencies]
-botocore = ">=1.12.189,<1.13.0"
+botocore = ">=1.12.191,<1.13.0"
 jmespath = ">=0.7.1,<1.0.0"
 s3transfer = ">=0.2.0,<0.3.0"

@@ -91,7 +91,7 @@ marker = "extra == \"boto3\""
 name = "botocore"
 optional = false
 python-versions = "*"
-version = "1.12.189"
+version = "1.12.191"

 [package.dependencies]
 docutils = ">=0.10"
@@ -359,8 +359,8 @@ category = "main"
 description = "Docutils -- Python Documentation Utilities"
 name = "docutils"
 optional = false
-python-versions = "*"
-version = "0.14"
+python-versions = ">=2.6, !=3.0.*, !=3.1.*, !=3.2.*"
+version = "0.15.1"

 [[package]]
 category = "main"

当您运行poetry lock时，pyproject.toml中未指定的任何内容都将被更新。