Pip 26.1 führt Lockfiles und Dependency Cooldowns ein
Python's Standard-Paketmanager pip erhält in Version 26.1 wichtige neue Features: Lockfiles für reproduzierbare Builds und Dependency Cooldowns für mehr Sicherheit bei der Paketinstallation. Die neue Version unterstützt außerdem kein Python 3.9 mehr.
Einordnung
Diese Pip-Version bringt zwei bedeutende Verbesserungen für die Python-Entwicklung. Lockfiles (pylock.toml) ermöglichen es, exakte Abhängigkeitsversionen zu fixieren und reproduzierbare Builds sicherzustellen - ein Feature, das bisher nur über externe Tools verfügbar war. Dependency Cooldowns adressieren ein wichtiges Sicherheitsproblem: Entwickler können mit --uploaded-prior-to eine Mindest-Wartezeit für Pakete festlegen, um Supply-Chain-Angriffe durch kompromittierte neue Releases zu vermeiden.
Diese Features bringen pip näher an moderne Paketmanager wie npm oder Cargo heran und verbessern sowohl die Sicherheit als auch die Reproduzierbarkeit von Python-Projekten erheblich. Besonders in Enterprise-Umgebungen und CI/CD-Pipelines werden diese Funktionen sehr wertvoll sein.