Pulumi Python SDK 依赖 pytest 的问题分析与解决

背景介绍

Pulumi 是一个流行的基础设施即代码(IaC)工具，允许开发者使用通用编程语言来定义和部署云资源。最近在 Pulumi Python SDK 3.157 版本中，用户发现安装 pulumi 包时会自动安装 pytest 和 pytest-watch 测试框架作为依赖项。

问题分析

这个问题源于 Pulumi 项目的一个合并请求(#18758)，在该请求中意外地将 pytest-watch 添加到了项目的依赖项中。具体来说，在 setup.py 文件的 install_requires 部分添加了 pytest-watch>=4.2.0 的依赖声明。

pytest-watch 本身又依赖于 pytest，因此当用户安装 pulumi 包时，这两个测试框架会被自动安装。这对于仅使用 Pulumi 进行基础设施部署而不需要编写测试的用户来说是不必要的依赖负担。

影响范围

这个问题影响了所有使用 Python SDK 3.157 版本的用户，特别是：

1. 生产环境中部署 Pulumi 项目的用户
2. 使用轻量级容器镜像的用户
3. 对依赖项数量敏感的项目

解决方案

Pulumi 团队迅速响应并发布了两个修复请求：

1. 第一个修复(#18966)移除了 pytest-watch 作为核心依赖项
2. 第二个修复(#18974)进一步确保了测试依赖项的正确隔离

技术启示

这个事件提醒我们几个重要的工程实践：

1. 依赖管理需要谨慎，特别是对于核心库
2. 测试依赖应该放在dev或optional依赖中
3. 变更影响分析应该包括间接依赖的检查

最佳实践建议

对于类似的基础设施工具开发：

1. 将运行时依赖与开发依赖严格分离
2. 使用extras_require来组织可选依赖项
3. 在CI流程中加入依赖项变更的审查步骤
4. 考虑使用更现代的构建工具如poetry或pipenv来管理依赖

总结

Pulumi团队快速响应并解决了Python SDK中不必要的测试依赖问题，展现了良好的开源项目管理能力。这个案例也展示了现代软件开发中依赖管理的重要性，以及如何通过工程实践来避免类似问题。