Poetry依赖解析问题：私有仓库安装时Metadata-Version 2.3导致依赖丢失

问题背景

在使用Python包管理工具Poetry时，用户发现当从私有仓库（如AWS CodeArtifact或Artifactory）安装某些包时，会出现依赖解析异常。具体表现为包的依赖关系未被正确识别，导致安装后的包无法正常使用。

问题现象

以black包24.4.0版本为例，当从PyPI安装时一切正常，但从私有仓库安装时会出现以下问题：

1. 包的依赖项（如click、mypy-extensions等）未被安装
2. 包的描述信息丢失
3. 安装后的包因缺少依赖而无法运行

根本原因

经过分析，发现这与包的元数据版本(Metadata-Version)有关：

1. black 24.4.0使用了Metadata-Version 2.3
2. 旧版Poetry使用的pkginfo库(版本<1.10.0)无法正确处理Metadata-Version 2.3格式
3. 从私有仓库安装时，Poetry使用了不同的元数据解析逻辑

技术细节

Python包的元数据规范经历了多次演进：

1. Metadata-Version 2.1：传统的元数据格式
2. Metadata-Version 2.3：引入了更现代的元数据表示方式
3. 新版构建工具(如gh-action-pypi-publish v1.8.13+)默认生成2.3版本元数据

Poetry依赖pkginfo库来解析包的元数据。旧版pkginfo无法正确处理2.3格式的元数据，导致从私有仓库安装时依赖信息丢失。

解决方案

临时解决方案

对于特定包，可以暂时固定使用旧版本：

black = "<24.4.0"

永久解决方案

升级pkginfo到1.10.0或更高版本：

1. 升级pkginfo：

poetry self add pkginfo>=1.10.0

2. 清理缓存：

poetry cache clear PyPI --all
poetry cache clear <私有仓库名称> --all

3. 重新安装依赖：

poetry update

影响范围

这个问题不仅影响black包，任何使用Metadata-Version 2.3的包在以下情况下都可能出现：

1. 从私有仓库安装
2. 使用旧版Poetry/pkginfo
3. 特别是通过CI/CD工具自动发布的新版本包

最佳实践建议

1. 保持Poetry和相关组件(pkginfo等)为最新版本
2. 在CI/CD流程中加入依赖完整性检查
3. 对于关键依赖，考虑在pyproject.toml中明确指定所有直接依赖
4. 定期检查并清理Poetry缓存

总结

这个问题凸显了Python打包生态系统中元数据格式演进带来的兼容性挑战。随着越来越多的包采用Metadata-Version 2.3，及时更新工具链变得尤为重要。Poetry团队已经在新版本中修复了这个问题，用户只需保持工具更新即可避免此类问题。