作为常年和Python依赖管理打交道的开发者，我来分享几个亲测有效的方案，帮你避开PyPI包消失导致构建失败的坑：

• 搭建私有依赖镜像仓库
  别把鸡蛋都放在PyPI这一个篮子里，自己搭个私有PyPI仓库（比如用devpi、JFrog Artifactory或者Sonatype Nexus），把项目用到的所有依赖包（包括精确版本）都同步备份到私有仓库里。构建的时候，给pip指定私有仓库地址（比如通过pip install --index-url https://your-private-pypi.com/simple/，或者在pip.conf里全局配置），就算PyPI上的包被删了，你的私有仓库里还有备份，完全不影响构建。

• 锁定依赖+离线缓存双保险
  首先用靠谱的依赖管理工具生成精确的依赖锁定文件：比如用pipenv lock或者poetry lock，它们会把每个依赖的版本、哈希值甚至依赖树都记录得明明白白；如果用原生pip，那就用pip freeze > requirements.txt（记得加上--exclude-editable避免本地开发包干扰）。
  另外，提前把所有依赖包下载到本地缓存目录，比如执行pip download -r requirements.txt -d vendor/，构建的时候直接用pip install --no-index --find-links vendor/ -r requirements.txt，全程不用连PyPI，彻底杜绝依赖缺失的问题。

• 自我托管小众依赖包
  如果你的项目依赖了某个小众包，或者作者已经很久没维护了，最好提前把这个包的源代码fork到自己的代码仓库（比如公司内部GitLab或者GitHub私有仓库）。然后在requirements.txt里直接指定从Git仓库安装，比如：

  git+https://your-company-git.com/forked/foo-package.git@v1.2.3#egg=foo-package
  

  这样就算原作者把PyPI上的包删了，你自己的fork仓库还能正常提供安装源。

• 定期监控依赖的存活状态
  别等构建失败才发现包没了，提前做好监控：

  • 可以用safety这类工具，除了检查依赖漏洞，还能间接帮你验证包在PyPI上是否存在；
  • 写个简单的Python脚本，遍历你的requirements文件，调用PyPI的JSON API检查对应版本是否还存在，一旦发现异常就及时告警，提前处理。

• 谨慎选择依赖包，必要时替代整合
  尽量优先选择下载量高、维护活跃的主流包，这类包被移除的概率极低。如果必须用小众包，先评估风险：要么自己实现这个包的核心功能，要么把包的代码直接整合到你的项目里（一定要遵守原包的开源许可证哦），彻底摆脱对第三方PyPI包的依赖。

• 容器化固化构建环境
  如果你用Docker或者Podman这类容器工具，在构建镜像的时候就把所有依赖都安装好，然后把构建完成的镜像推到自己的私有镜像仓库。后续部署直接拉取现成的镜像，完全不用重新安装依赖，从根源上避免了构建时依赖缺失的问题。

内容的提问来源于stack exchange，提问作者static_rtti