ローカルPythonパッケージの監査
ローカル環境にインストールされたPythonパッケージを監査し、既知の脆弱性やメンテナンスされていない依存関係を特定する方法について解説。pip-auditや安全なパッケージ管理の実践的アプローチを紹介する。
背景メモ
Pythonのパッケージ管理ツールであるpipやpipxでインストールされたパッケージは、システム全体あるいはユーザー環境に直接インストールされるため、時間とともに管理不能なほどパッケージが蓄積しがちです。また依存関係の競合や、使わなくなったパッケージによるセキュリティリスクも発生します。筆者はこうした「数年分のローカルPython環境のゴミ」を棚卸しする方法を具体的に紹介しています。仮想環境(venv)やPoetryのような最近の推奨手法ではなく、昔ながらの直接インストール方式が抱える問題と、そのクリーンアップ手順が主題です。pv(パイプビューア)やfd(高速なファイル検索コマンド)など、UNIX系の補助ツールも登場します。