Python依赖管理Pipfile与Pipfile.lock使用及说明_Python

本文档详细介绍了 python 项目中 pipfile 和 pipfile.lock 的作用、原理，以及它们与传统 requirements.txt 的区别。

1. 它们是什么？

这两个文件是 python 依赖管理工具 pipenv 的核心组件。

如果你熟悉前端开发（node.js），可以这样类比：

pipfile ≈ \approx ≈ package.json
pipfile.lock ≈ \approx ≈ package-lock.json 或 yarn.lock

它们的设计目的是为了解决 python 传统依赖管理（pip + requirements.txt）中的一些痛点，如版本冲突、开发依赖分离困难、环境一致性差等。

2. 文件详解

2.1 pipfile (给人看的)

这是一个 toml 格式的文件，用来声明项目需要哪些包。它只记录你直接安装的顶层依赖。

主要特点：

易读性：结构清晰。
环境分离：明确区分 [packages]（生产环境）和 [dev-packages]（开发测试环境）。
版本灵活：通常只指定最低版本或模糊版本（如 *），表明意图。
python 版本指定：可以锁定项目所需的 python 解释器版本。

示例 pipfile:

[[source]]
url = "https://pypi.org/simple"
verify_ssl = true
name = "pypi"

[packages]
requests = "*"          # 安装最新版
fastapi = ">=0.68.0"    # 指定最低版本

[dev-packages]
pytest = "*"
black = "*"

[requires]
python_version = "3.10"

2.2 pipfile.lock (给机器看的)

这是一个自动生成的 json 文件，绝对不应该手动修改。

主要特点：

确定性构建 (deterministic builds)：它通过运行 pipenv lock 生成，将 pipfile 中模糊的依赖解析为具体的版本号（例如 requests 的 * 变成了 2.28.1）。
依赖树锁定：不仅仅锁定你安装的包，还锁定了这些包所依赖的所有子包（sub-dependencies）。
安全哈希：包含每个包文件的 hash 值。这保证了在任何机器上安装时，下载的文件内容必须与生成 lock 文件时完全一致，防止中间人攻击或包被篡改。

3. 为什么很多人“写了很久 python 也没用过”？

这在 python 社区非常正常，主要原因有三点：

1.requirements.txt 的统治地位

它是 python 最原始、最通用的依赖列举方式。
几乎所有的云平台（aws, gcp, azure）、ci/cd 工具和 ide 都原生完美支持它。
对于简单的脚本或小型微服务，它完全够用。

2.生态分裂 (the “packaging war”)

python 的包管理工具有很多流派。
conda: 数据科学和 ai 领域（pytorch, tensorflow）通常使用 conda 和 environment.yml，完全不依赖 pipenv。
poetry / pdm / uv: 这是目前更现代的选择。pipenv 曾有一段时间维护停滞，导致社区转向了基于官方标准 pyproject.toml 的工具（如 poetry）。

3.非官方标准

pipfile 是 pipenv 项目定义的格式，并不是 python 官方标准（pep）。目前的官方趋势是统一使用 pyproject.toml 来管理项目配置和依赖。

4. 对比：pipenv vs requirements.txt

特性	requirements.txt	pipfile / pipenv
依赖解析	弱（容易出现版本冲突）	强（自动计算版本兼容性）
版本锁定	需要手动 pip freeze (不直观)	自动 (pipfile.lock 锁定所有子依赖)
开发依赖	通常需要维护两个文件 (requirements.txt, dev.txt)	内置支持 ([dev-packages])
虚拟环境管理	手动 (python -m venv venv)	自动 (自动创建和管理 hidden venv)
安装速度	快	慢 (依赖解析算法复杂，lock 过程较慢)
通用性	极高	中等 (需要安装 pipenv)