setuptools项目中发现sdist包中缺失关键元数据文件

在setuptools项目的74.0.0版本中，发现了一个关于软件分发包(sdist)的重要问题。当用户从PyPI下载源代码分发包并解压后，尝试使用pip freeze命令检查vendored依赖版本时，发现部分元数据文件缺失，导致无法正确识别打包的依赖版本。

问题背景

setuptools是一个广泛使用的Python打包工具，它会在内部vendoring(内嵌)多个第三方依赖包。在74.0.0版本之前，项目通过vendored.txt文件记录这些内嵌依赖的版本信息。但从某个版本开始，这个文件被移除了，转而依赖pip freeze命令来获取这些信息。

问题详情

当用户下载setuptools的sdist包并解压后，执行以下命令检查内嵌依赖时：

pip freeze --path setuptools/_distutils/_vendor

会收到警告信息，提示由于元数据不完整而无法识别packaging包的版本。具体原因是setuptools/_distutils/_vendor/packaging-24.0.dist-info目录下的METADATA文件在sdist包中缺失，而该文件对于pip识别包版本至关重要。

技术分析

在Git仓库中，packaging-24.0.dist-info目录包含完整的元数据文件：

• INSTALLER
• LICENSE文件
• METADATA
• RECORD
• 其他必要文件

但在发布的sdist包中，该目录仅包含：

• LICENSE
• LICENSE.APACHE
• LICENSE.BSD

缺少了关键的METADATA等文件，导致pip无法正确解析包的版本信息。

影响范围

这个问题会影响所有需要：

1. 检查setuptools内嵌依赖版本的工具或脚本
2. 依赖这些元数据进行包管理的系统
3. 需要验证内嵌依赖完整性的场景

解决方案

项目维护者已经提交修复，确保在构建sdist包时包含完整的元数据文件。对于用户而言，升级到包含修复的版本即可解决此问题。

最佳实践建议

对于类似需要vendoring第三方依赖的项目，建议：

1. 确保所有必要的元数据文件都包含在发布包中
2. 考虑保留显式的版本记录文件作为备份
3. 在发布前验证所有vendored依赖的完整性
4. 建立自动化测试来检查发布包的完整性

这个问题提醒我们，在软件打包过程中，即使是看似次要的元数据文件，也可能对工具链的正常工作产生重要影响。