In generale i pacchetti dovrebbero/possono avere una firma, basterebbe
controllare quella.
Il 16/06/22 00:21, Giorgio Zoppi ha scritto:
Ciao,
Di solito nelle varie esperienze ho incontrato un repository pip
privato. Tutti gli sviluppatori accendino solo quel repo per le
dipendenze esterne e il gruppo di devops è responsabile di
mantenerlo. Mi sembra più che giusto aprire un ticket JIRA per
aggiungere dipendenze all'ambiente controllato. Ogni developer ha una
sandbox o un ambiente controllato di prova dove fa i suoi cambi e poi
fa il push via git.
Di solito non si fa mai cut and paste nemmeno di codice che pushi tu
perche non passerebbe la review. Se il codebase e' grande
si dividono i repository git e si usa un meccanismo di integrazione
dei repository in modo che non ci siano incongruenze. Tutto al giorno
d'oggi passa attraverso una CI, spesso non si fa la CD, ma per
questione proprio di grandezza o di impossibilita'.Non fai la CD di un
prodotto come lo space shuttle perche per esempio la QA deve esistere
ed essere formale. La CD si fa quando la si fa
o in un ambiente di pre produzione QA o direttamente sugli ambienti
controllati di sviluppo/prova. Durante gli anni dipende dalle aziende
la validazione del software e' un meccanismo automatico e
responsabilità primaria dello sviluppatore. 80% unit test, 15%
integration tests, 5% end2end tests.
Best Regards,
Giorgio
_______________________________________________
Python mailing list
Python@lists.python.it
https://lists.python.it/mailman/listinfo/python
_______________________________________________
Python mailing list
Python@lists.python.it
https://lists.python.it/mailman/listinfo/python
