Reproductable builds

freezed · Avril 11, 2023, 2:42

J’ai Les Cast Codeurs dans mes podcasts, c’est beaucoup de Java (mais pas que) et je suis souvent largué (quand ça parle Java ). Mais de temps en temps ça éveille ma curiosité.

Dans la dernière interview, autour de maven, à été abordé le sujet des reproductable builds, c’est à dire qu’à chaque compilation on obtient un artefact qui est strictement identique (la même valeur de hash).

De ma faible expérience en packaging python, je n’ai pas l’impression que ça possible. En effet, sur freeBSD, il faut fournir le hash de l’archive à poudriere et donc, j’ai eu des problèmes de cet ordre lors de mes essais.

Mais comme il est probable que certaines méthode de packaging me soient inconnues, je voulais savoir si parmis vous on déjà vu ou réalisé ce genre de build.

c24b · Avril 11, 2023, 6:32

As tu essayé avec pybuilder?

freezed · Avril 11, 2023, 8:50

Je ne connais pas pybuilder, le projet se défini comme un équivalent à maven / gradle, donc il y a peut-être une piste a suivre ici. Je note, merci à toi

dancergraham · Avril 12, 2023, 5:19

Bonjour,

Il y a pip tools pour la partie Python et Docker si tu veux ajouter l’environnement autour. Personnellement je pin mes dependencies directs mais je ne pin pas l’ensemble des dependences secondaires avec les hashs (pour l’instant). J’utilise dependabot sur GitHub pour gérer les mises a jour - ca fonctionne plutot bien pour l’instant.

-Graham