pip install requirements.txt 时依赖冲突如何解决？

一、现象层：依赖冲突的典型报错与复现路径

执行 pip install -r requirements.txt 时，常见错误如下：

ERROR: Cannot install django==4.2.0 and djangorestframework>=3.14,<4.0 because these package versions have conflicting dependencies.

该错误非语法错误，而是 pip 的依赖解析器（Resolver）在构建有向无环图（DAG）时检测到不可满足约束。复现路径高度可复现：在 Python 3.9 环境下 pip freeze > requirements.txt 后，CI 使用 Python 3.12 运行相同命令即失败——因 setuptools 68+ 在 Py3.12 中默认启用新 resolver，而旧版 pip（≤22.x）使用 legacy resolver，行为不一致。

二、机制层：pip 解析器演进与“贪婪不可回溯”本质

自 pip 20.3 起，默认启用 backtracking resolver，但其回溯能力受限于超时阈值与启发式剪枝策略。关键事实：

• pip 不构建全局兼容解空间，而是采用深度优先+约束传播（Constraint Propagation），一旦某分支失败即丢弃，不尝试替代版本组合
• 子依赖版本由 setup.py 或 pyproject.toml 中的 install_requires 声明，但 pip 不验证跨包语义一致性（如 Django 版本对 DRF 插件 ABI 的实际兼容性）
• Python 版本差异会触发不同 python_requires 分支，导致同一包名解析出不同 wheel（如 django-4.2.0-py3-none-any.whl vs django-4.2.0-cp312-cp312-manylinux_2_17_x86_64.manylinux2014_x86_64.whl）

三、根源层：requirements.txt 的三大反模式

四、工程层：现代 Python 依赖治理四阶演进

推荐实践链路：

1. 用 pip-tools 生成可重现的 requirements.txt：
   pip-compile --resolver=backtracking --upgrade --generate-hashes requirements.in
2. 在 CI 中强制校验：
   pip install pip-tools && pip-compile --check requirements.in
3. 为多 Python 版本生成矩阵：
   tox -e py39,py311,py312 -- pip list --outdated
4. 引入 pipdeptree 可视化冲突：
   pipdeptree --packages django,djangorestframework --warn silence

五、架构层：微服务场景下的依赖契约治理

在 20+ 仓库的微服务集群中，需建立组织级依赖策略：

• 基线版本公约：定义 DJANGO_BASELINE=4.2.*，所有服务通过 constraints.txt 统一约束，而非各自硬编码
• 依赖健康看板：用 pip-audit 扫描 CVE，结合 pip-show-tree 识别陈旧子依赖
• CI 双通道验证：
  ① pip install -c constraints.txt -r requirements.txt（约束安装）
  ② pip check 验证运行时兼容性