确保 Python 项目打包时自动识别并包含所有运行时依赖的系统化方法

1. 问题背景与常见表现

在使用 python setup.py sdist 或 poetry build 构建 Python 包时，开发者常遇到“模块未找到（ModuleNotFoundError）”等运行时错误。这类问题的根本原因通常是依赖项未被正确声明或解析。

• 通过 pip install 手动安装但未记录在配置文件中
• setup.py 中 install_requires 缺失关键依赖
• pyproject.toml 的 [tool.poetry.dependencies] 声明不完整
• 开发环境与构建环境使用的 Python 版本或包版本不一致
• 动态导入导致静态分析工具无法捕捉依赖

2. 根本原因剖析：从配置到执行链路

阶段	潜在风险点	影响范围
依赖管理	使用全局 pip 安装而非虚拟环境	依赖漂移、遗漏记录
打包配置	setup.py 手动维护易出错	生产部署失败
构建流程	CI/CD 环境缺少依赖同步机制	构建成功但运行失败
静态分析	未扫描代码实际导入语句	隐式依赖未识别

3. 解决方案层级一：规范依赖声明方式

首要任务是采用标准化的依赖管理格式，避免手动编辑带来的疏漏。

1. 优先使用 pyproject.toml 替代传统 setup.py
2. 若使用 Poetry，则通过 poetry add package_name 添加依赖，确保其写入 lock 文件
3. 若使用 setuptools + pyproject.toml，应定义 [build-system] 和 [project] 字段
4. 禁止直接修改 requirements.txt 而不同步配置文件
5. 利用 poetry export --without-hashes -f requirements.txt 导出锁定依赖用于 CI

4. 解决方案层级二：自动化依赖检测技术

即使规范了声明方式，仍需验证代码实际所需的依赖是否全部覆盖。

# 使用 pipreqs 自动生成 requirements.txt
$ pipreqs /path/to/project

# 使用 importanize 或 modulegraph 分析导入树
from modulegraph.finder import ModuleGraphFinder
import ast

def scan_imports(file_path):
    with open(file_path, "r") as f:
        tree = ast.parse(f.read())
    imports = [node.module for node in ast.walk(tree) 
               if isinstance(node, ast.Import) and node.module]
    return imports

5. 解决方案层级三：构建过程中的验证闭环

引入“构建-部署-验证”反馈循环，确保依赖完整性可验证。

graph TD A[开发本地] --> B[git push] B --> C{CI Pipeline} C --> D[创建虚拟环境] D --> E[poetry install 或 pip install -e .] E --> F[运行 pytest] F --> G[执行 poetry build] G --> H[部署至测试容器] H --> I[启动服务并健康检查] I --> J{依赖缺失?} J -- 是 --> K[告警并回滚] J -- 否 --> L[标记为可发布]

6. 高级策略：依赖推断与动态补全机制

针对难以静态捕获的依赖（如插件架构、延迟加载），可结合日志监控和运行时追踪。

• 使用 strace 或 ltrace 捕获进程调用的模块路径
• 在测试环境中启用 sys.meta_path 钩子记录首次导入
• 集成 SCA 工具（Software Composition Analysis）如 pip-audit、deptry
• 使用 pydeps 可视化依赖图谱，发现隐藏依赖
• 定期运行 poetry check 或 twine check dist/* 验证包完整性