应谨慎升级过时包,优先清理未被import且无依赖的孤儿包;用pipreqs生成真实依赖清单,人工验证import及动态导入,避免误删pip、setuptools等关键包。
pip list --outdated 显示的包,不一定都要升级
很多人看到 pip list --outdated 就急着全量升级,结果破坏依赖兼容性。比如 requests 升到 2.32 后,某些老项目用的 urllib3<2.0 会直接报 ImportError: cannot import name 'util' from 'urllib3'。
真正该关注的是:哪些包长期没更新、没人维护、且当前项目根本没 import 过。
- 先用
pipdeptree --reverse --packages <pkg_name>看谁在依赖它,如果输出为空,说明可能是孤儿包 - 检查
import语句是否真实存在:用grep -r "import.*requests" . --include="*.py"(注意替换requests) - 别信
pip show <pkg>里的Author字段——很多包作者字段是空的或填了“N/A”,得看 GitHub star 数和最近 commit 时间
pip-autoremove 不能直接信,尤其在虚拟环境里
pip-autoremove 默认只删「没被其他包依赖」的包,但它不检查你代码里有没有手动 import。更麻烦的是:它在 venv 里运行时,会把 setuptools、wheel 甚至 pip 自身当“无用包”列出来——删了就 pip 命令失效。
- 装完先跑
pip-autoremove -l列出候选,别加-y - 重点过滤掉这些名字:
pip、setuptools、wheel、pip-tools、virtualenv - 如果用了
pip-tools管理依赖,卸载前务必确认requirements.in和requirements.txt里没漏写显式依赖
用 pipreqs 生成真实 import 依赖清单再比对
pipreqs 是目前最靠谱的“按实际 import 行为反推依赖”的工具,比单纯看 requirements.txt 或 setup.py 准确得多——尤其适合接手别人代码、或自己忘了当初为啥装某个包的情况。
立即学习“Python免费学习笔记(深入)”;
- 运行
pipreqs ./ --force --savepath requirements_real.txt,它会扫描所有.py文件里的import和from ... import - 对比
pip list --format=freeze > requirements_all.txt,用comm -23 <(sort requirements_real.txt) <(sort requirements_all.txt)找出未被 import 的包 - 注意:
pipreqs不处理动态 import(比如__import__(xxx)或importlib.import_module()),这类得人工翻代码
卸载后要验证 import 是否真断了
删完包不是终点。有些模块在 import 时才触发异常,比如 sqlalchemy 的方言插件、matplotlib 的后端驱动,不运行到对应逻辑根本不会报错。
- 最简验证:进 Python 交互环境,逐个执行
import语句,覆盖你项目里所有顶层 import 行 - 如果有测试用例,跑一遍
pytest --import-mode=importlib(避免 pytest 自动收集导致误判) - 特别留意
pkg_resources和importlib.metadata相关调用——它们可能隐式读取已卸载包的dist-info目录,报PackageNotFoundError
清理的本质不是删得越多越好,而是让每个留下的包都有明确的、可验证的用途。import 行、CI 日志、部署失败记录,比任何自动化工具都更可信。
