本文檔詳細介紹了 Python 項目中 Pipfile 和 Pipfile.lock 的作用、原理，以及它們與傳統(tǒng) requirements.txt 的區(qū)別。

1. 它們是什么？

這兩個文件是 Python 依賴管理工具 Pipenv 的核心組件。

如果你熟悉前端開發(fā)（Node.js），可以這樣類比：

• Pipfile ≈ \approx ≈ package.json
• Pipfile.lock ≈ \approx ≈ package-lock.json 或 yarn.lock

它們的設計目的是為了解決 Python 傳統(tǒng)依賴管理（pip + requirements.txt）中的一些痛點，如版本沖突、開發(fā)依賴分離困難、環(huán)境一致性差等。

2. 文件詳解

2.1 Pipfile (給人看的)

這是一個 TOML 格式的文件，用來聲明項目需要哪些包。它只記錄你直接安裝的頂層依賴。

主要特點：

• 易讀性：結(jié)構(gòu)清晰。
• 環(huán)境分離：明確區(qū)分 [packages]（生產(chǎn)環(huán)境）和 [dev-packages]（開發(fā)測試環(huán)境）。
• 版本靈活：通常只指定最低版本或模糊版本（如 *），表明意圖。
• Python 版本指定：可以鎖定項目所需的 Python 解釋器版本。

示例 Pipfile:

[[source]]
url = "https://pypi.org/simple"
verify_ssl = true
name = "pypi"

[packages]
requests = "*"          # 安裝最新版
fastapi = ">=0.68.0"    # 指定最低版本

[dev-packages]
pytest = "*"
black = "*"

[requires]
python_version = "3.10"

2.2 Pipfile.lock (給機器看的)

這是一個自動生成的 JSON 文件，絕對不應該手動修改。

主要特點：

• 確定性構(gòu)建 (Deterministic Builds)：它通過運行 pipenv lock 生成，將 Pipfile 中模糊的依賴解析為具體的版本號（例如 requests 的 * 變成了 2.28.1）。
• 依賴樹鎖定：不僅僅鎖定你安裝的包，還鎖定了這些包所依賴的所有子包（Sub-dependencies）。
• 安全哈希：包含每個包文件的 Hash 值。這保證了在任何機器上安裝時，下載的文件內(nèi)容必須與生成 Lock 文件時完全一致，防止中間人攻擊或包被篡改。

3. 為什么很多人“寫了很久 Python 也沒用過”？

這在 Python 社區(qū)非常正常，主要原因有三點：

1.requirements.txt 的統(tǒng)治地位

• 它是 Python 最原始、最通用的依賴列舉方式。
• 幾乎所有的云平臺（AWS, GCP, Azure）、CI/CD 工具和 IDE 都原生完美支持它。
• 對于簡單的腳本或小型微服務，它完全夠用。

2.生態(tài)分裂 (The “Packaging War”)

• Python 的包管理工具有很多流派。
• Conda: 數(shù)據(jù)科學和 AI 領域（PyTorch, TensorFlow）通常使用 Conda 和 environment.yml，完全不依賴 Pipenv。
• Poetry / PDM / uv: 這是目前更現(xiàn)代的選擇。Pipenv 曾有一段時間維護停滯，導致社區(qū)轉(zhuǎn)向了基于官方標準 pyproject.toml 的工具（如 Poetry）。

3.非官方標準

• Pipfile 是 Pipenv 項目定義的格式，并不是 Python 官方標準（PEP）。目前的官方趨勢是統(tǒng)一使用 pyproject.toml 來管理項目配置和依賴。

4. 對比：Pipenv vs requirements.txt

5. 什么時候該用哪個？

繼續(xù)使用 requirements.txt：

• 你正在編寫 Docker 鏡像（如本項目），pip install -r requirements.txt 是最簡單、層級最少的命令。
• 團隊已經(jīng)習慣了這種方式，且項目依賴關(guān)系不復雜。

使用 Pipenv (Pipfile)：

• 你需要嚴格的確定性構(gòu)建，確保生產(chǎn)環(huán)境和開發(fā)環(huán)境的每一個包版本（包括子依賴）都連 Hash 值都一樣。
• 你喜歡不用手動管理 source venv/bin/activate 的便利。

使用 Poetry / uv (pyproject.toml)：

• 推薦方向。如果你要開始一個新項目，或者想要構(gòu)建一個 Python 包發(fā)布到 PyPI。
• 它們使用現(xiàn)代標準的 pyproject.toml，速度更快（尤其是 uv），體驗更好。

總結(jié)

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持腳本之家。