À quoi sert PyPI ?
PyPI (Python Package Index) est le dépôt officiel des bibliothèques tierces de Python. Il s'agit d'une plateforme qui centralise des milliers de bibliothèques et frameworks développés par la communauté Python.
PyPI permet donc de faciliter le partage et la distribution des bibliothèques tierces. Vous n'avez pas besoin de télécharger manuellement le code source de chaque bibliothèque sur le site de son ou ses auteurs et de gérer les versions vous-même. PyPI automatise tout ce processus.
PyPI et pip
Il ne faut pas confondre le dépôt (PyPI) et l'outil pip :
-
PyPI est la plateforme où sont stockées les bibliothèques
-
pip permet d'aller télécharger ces bibliothèques
En effet, par défaut, la commande pip va chercher les paquets sur PyPI.
Sécurité
La plateforme ne sert pas juste à télécharger du code, vous pouvez aussi partager le vôtre. Vous pouvez très bien créer une bibliothèque et la publier dessus pour que tout le monde puisse en profiter.
De ce fait, comme tout le monde peut publier sur la plateforme, il faut rester vigilant :
-
Attention aux fautes de frappe, djanga n'est pas django. Je vous invite à lire l'article Twelve malicious Python libraries found and removed from PyPI
-
Regardez la popularité en vérifiant les liens vers les dépôts GitHub par exemple, ou en regardant la dernière date de mise à jour
PyPi exemple avec Django
