常见问题

基础

什么是包、项目或版本？

我们使用许多术语来描述 PyPI 上的软件，例如“项目”、“发布”、“文件”和“包”。有时这些术语会让人困惑，因为它们在其他上下文中被用来描述不同的事物。以下是我们在 PyPI 上的使用方法

PyPI 上的“项目”是一组发布和文件及其信息的名称。PyPI 上的项目由 Python 社区的其他成员创建和共享，以便您可以使用它们。

PyPI 上的“发布”是项目的特定版本。例如，requests 项目有许多发布，如“requests 2.10”和“requests 1.2.1”。一个发布由一个或多个“文件”组成。

PyPI 上的“文件”，也称为“包”，是可以下载和安装的。由于不同的硬件、操作系统和文件格式，一个发布可能有几个文件（包），例如包含源代码的存档或二进制 wheel。

我该如何从PyPI安装文件（包）？

要了解如何从 PyPI 安装文件，请访问 安装教程，位于 Python 打包用户指南 上。

我该如何打包和发布代码到PyPI？

有关配置、打包和分发您的 Python 项目的完整说明，请参阅 打包教程，位于 Python 打包用户指南 上。

什么是Trove分类器？

分类器用于对 PyPI 上的项目进行分类。有关更多信息以及有效分类器的列表，请参阅 分类器页面。

什么是“已撤回”的版本？

被撤回的发布是指安装程序始终忽略的发布，除非它是唯一匹配版本指定符（使用 == 或 ===）的发布。有关更多信息，请参阅 PEP 592。

我的账户

为什么我需要一个验证过的电子邮件地址？

目前，PyPI 需要验证的电子邮件地址才能执行以下操作

• 注册新项目。
• 上传新版本或文件。

需要验证的电子邮件地址的活动列表可能会随着时间的推移而增长。

此政策将使我们能够执行有关维护者可到达性的 PEP 541 的关键政策。它还减少了自动创建大量账户的垃圾邮件攻击的可行性。

您可以在您的 账户设置 中管理您账户的电子邮件地址。这也允许向在我们开始执行此政策之前注册的用户发送新的确认电子邮件。

为什么PyPI告诉我我的密码已泄露？

PyPI 本身未遭受泄露。这是一项预防措施，以减少针对 PyPI 及其用户的 凭据填充攻击 风险。

每次用户提供密码——在注册、身份验证或更新密码时——PyPI 都会安全地检查该密码是否出现在公开的数据泄露中。

在这些过程中的每次，PyPI 都会生成提供的密码的 SHA-1 哈希值，并使用哈希值的前五个（5）字符来检查 Have I Been Pwned API，以确定该密码是否已被先前泄露。明文密码从未被 PyPI 存储，也不会提交给 Have I Been Pwned API。

PyPI 不允许在注册或更新密码时使用此类密码。

如果您收到错误信息，提示“此密码已泄露或被篡改，无法使用”，您应立即更改所有使用该密码的地方。

如果您在尝试登录或上传到PyPI时收到此错误，则您的密码已被重置，您必须先重置密码后才能登录PyPI。

如果我发现账户上有可疑活动，我应该怎么办？

所有PyPI用户事件都存储在账户设置的安全历史记录中。如果有任何可疑事件，请采取以下步骤

• 重置密码
• 通过[email protected]联系PyPI管理员关于事件

为什么PyPI告诉我我的API令牌已泄露？

与您的账户关联的PyPI API令牌被发布在公共网站上。它已被自动吊销，但在生成新的令牌之前，请检查您收到的电子邮件并尝试确定原因。同样适用于可疑活动部分。

什么是双因素认证以及如何在PyPI上工作？

两步验证（2FA）通过要求两个因素来登录，使您的账户更安全：您所知道的和您所拥有的。

在PyPI的情况下，“您所知道的”是您的用户名和密码，“您所拥有的”可以是一个生成临时代码的应用程序，或者一个安全设备（通常是USB密钥）。

PyPI账户需要两步验证。

在网页登录过程中，用户将被要求提供他们的第二种身份验证方法。

基于时间的单次密码（TOTP）的双因素认证是如何工作的？我如何在PyPI上设置它？

PyPI用户可以使用任何支持TOTP标准的认证应用程序来设置两步验证。

TOTP认证应用程序生成一个定期变化的认证代码，用于登录您的账户。

因为TOTP是一个开放标准，所以有许多与您的PyPI账户兼容的应用程序。流行的应用程序包括

• 适用于Android或iOS(专有)的Google Authenticator
• Microsoft Authenticator (专有)
• 适用于Android或iOS(专有)的Duo Mobile
• Authy (专有)
• FreeOTP+ (开源)
• FreeOTP (开源)

一些密码管理器（例如1Password）也可以生成认证代码。出于安全原因，PyPI只允许每个账户设置一个应用程序。

使用认证应用程序设置2FA

1. 打开认证（TOTP）应用程序
2. 登录到您的PyPI账户，转到账户设置，并选择“使用认证应用程序添加2FA”
3. PyPI将生成一个专属于您账户的秘密密钥。它以QR码的形式显示，也可以以文本代码的形式显示。
4. 使用您的认证应用程序扫描QR码，或手动输入它。输入方法取决于您选择的应用程序。
5. 您的应用程序将生成一个认证代码 - 使用此代码在PyPI上验证您的设置

PyPI服务器和您的应用程序现在共享您的PyPI秘密密钥，允许您的应用程序为您生成有效的认证代码。

下次您登录PyPI时，需要执行以下操作：

1. 如常提供您的用户名和密码
2. 打开您的身份验证应用程序以生成身份验证代码
3. 使用此代码完成PyPI登录

使用安全设备（如USB密钥）的双因素认证是如何工作的？我如何在PyPI上设置它？

安全设备是一种USB密钥或其他设备，可以生成一次性密码并将该密码发送到浏览器。然后，PyPI使用此密码来验证您的用户身份。

要使用USB密钥设置两步验证，您需要：

• 使用支持WebAuthn和PublicKeyCredential的浏览器，因为这是PyPI实施的标准。
• 在您的浏览器上运行JavaScript
• 使用符合FIDO U2F规范的USB密钥
  • 流行的密钥包括Yubikey、Google Titan和Thetis。
  • 请注意，一些较旧的Yubico USB密钥不遵循FIDO规范，因此无法与PyPI一起使用

按照以下步骤操作：

1. 登录到您的PyPI账户，转到账户设置，然后选择“使用安全设备（例如USB密钥）添加2FA”
2. 为您的密钥命名。这是必要的，因为您可以为账户添加多个安全设备。
3. 单击“设置安全设备”按钮
4. 按照浏览器指示插入并触摸您的USB密钥

完成后，您的USB密钥将被注册到您的PyPI账户，并在登录过程中使用。

下次您登录PyPI时，需要执行以下操作：

1. 如常提供您的用户名和密码
2. 插入并触摸您的USB密钥以完成PyPI登录

除了USB密钥，我可以用哪些设备作为安全设备？

存在一个不断增长的生态系统的FIDO兼容设备，因此可以与PyPI一起使用。

新兴解决方案包括生物识别（面部和指纹）扫描仪和FIDO兼容的信用卡。还有越来越多的支持手机作为安全设备。

由于PyPI的两步验证实现遵循WebAuthn标准，PyPI用户将能够利用该领域的未来任何发展。

基于恢复码的双因素认证是如何工作的？我如何在PyPI上设置它？

如果您丢失了身份验证应用程序或安全设备的访问权限，您可以使用这些代码登录PyPI。

恢复代码是一次性使用的。它们不是身份验证应用程序或安全设备的替代品，并且仅应用于恢复。使用恢复代码登录后，它将变为无效。

要生成恢复代码

1. 登录您的PyPI账户，进入账户设置，然后选择“生成恢复码”
2. 安全存储显示的恢复码！考虑将它们打印出来并保存在安全的地方，或者将它们保存在密码管理器中。

如果您无法访问存储的恢复码或已使用所有恢复码，您可以通过在账户设置中选择“重新生成恢复码”来获取新的恢复码。

使用恢复码登录

1. 如常提供您的用户名和密码
2. 在提示进行两步验证时，选择“使用恢复码登录”
3. 由于每个代码只能使用一次，您可能想要将代码标记为已使用
4. 如果您剩余的恢复码很少，您还可以通过在账户设置中的“重新生成恢复码”按钮生成新的集合。

我如何使用API令牌与PyPI进行身份验证？

API令牌用于在PyPI上上传软件包时进行身份验证。

您可以为整个PyPI账户创建一个令牌，在这种情况下，该令牌将适用于与该账户关联的所有项目。或者，您可以将令牌的范围限制为特定的项目。

当使用CI提供商的API令牌时，我们建议将令牌的范围缩小到必要的最小项目。

如果您从支持受信任发布的CI提供商向PyPI发布，我们强烈建议您使用受信任发布。

创建API令牌

• 验证您的电子邮件地址（检查您的账户设置）
• 在您的账户设置中，转到API令牌部分并选择“添加API令牌”

使用API令牌

• 将用户名设置为__token__
• 将密码设置为令牌值，包括pypi-前缀

您编辑或添加这些值的位置将取决于您的个人使用情况。例如，一些用户可能需要编辑他们的.pypirc文件，而其他人可能需要更新他们的CI配置文件（例如，如果您使用Travis，则更新.travis.yml）。

高级用户可能希望通过使用base64解码来检查他们的令牌，并将输出与PyPI上显示的唯一标识符进行核对。

为什么某些操作需要我确认密码？

PyPI在您想要执行敏感操作之前会要求您确认密码。敏感操作包括添加或删除维护者、删除发行版、生成API令牌以及设置两步验证。

如果您上次确认密码已超过一小时，您将需要重新确认密码。

我们强烈建议您只在您的个人、受密码保护的计算机上执行此类操作。

我该如何更改我的PyPI用户名？

PyPI目前不支持更改用户名。

相反，您可以创建一个具有所需用户名的新账户，将新账户添加为所有您旧账户拥有的项目的维护者，然后删除旧账户，这将产生相同的效果。

我如何使用受信任的发布者发布到PyPI？

PyPI用户和项目可以使用受信任的发布者将PyPI软件包的发布权限委托给受信任的第三方服务，从而消除使用API令牌的需要。

集成

PyPI是否有我可以使用的API？

是的，包括新软件包和新版本的RSS源。请参阅API参考。

我该如何运行PyPI的镜像？

如果您需要运行自己的PyPI镜像，bandersnatch项目是推荐的解决方案。请注意，PyPI镜像的存储需求将超过1兆字节——并且还在增长！

我如何在新版本的项目发布时收到通知？

您可以订阅项目发布RSS源。此外，还有几个第三方服务提供对项目发布和漏洞的全面监控和通知，这些服务作为GitHub应用提供。

我在哪里可以看到关于PyPI、下载和项目/包使用的统计数据？

您可以通过我们的公共数据集在Google BigQuery上分析PyPI项目/软件包元数据和下载使用统计。

Libraries.io提供PyPI项目的统计信息（示例，API），包括GitHub星标和分支，依赖跟踪（进行中），以及其他相关因素。

有关最近的上线和性能统计信息，请参阅我们的状态页面。

文件散列用于什么，我该如何验证它们？

对于在PyPI上托管的每个软件包，都有一个对应文件的哈希值。这些哈希值可以用来验证您下载的文件与项目维护者上传的是同一个。如果从镜像下载软件包，这尤其有用。这些哈希值可以从“下载文件”部分的“项目页面”或JSON API中获取。以下是生成哈希的示例

import hashlib
with open("file-path-to-verify", "rb") as f:
    file_contents = f.read()
blake2b_hash = hashlib.blake2b(file_contents, digest_size=32).hexdigest()
sha256_hash = hashlib.sha256(file_contents).hexdigest()
print(f"BLAKE2b-256: {blake2b_hash}\nSHA256: {sha256_hash}")

在实际操作中，验证一个哈希值就足够了。由于MD5算法存在已知的安全问题，不建议使用MD5哈希。此哈希仅提供向后兼容性。

PyPI上项目的管理

我该如何将我的私有包发布到PyPI？

PyPI不支持发布私有软件包。如果您需要将私有软件包发布到软件包索引，建议的解决方案是运行自己的devpi项目。

为什么我想要的的项目名称不可用？

尽管没有证据表明在PyPI上存在同名项目或发布，但您的发布工具可能返回一个错误，表明无法使用您希望的名字创建新项目。目前，这可能有以下四个主要原因

• 项目名称与从2.5版到现在的任何主要版本的Python标准库模块冲突。
• 项目名称与现有项目过于相似，可能引起混淆。
• 项目名称已被PyPI管理员明确禁止。例如，`pip install requirements.txt`是`pip install -r requirements.txt`的常见拼写错误，不应让用户因恶意软件包而感到惊讶。
• 项目名称已被其他用户注册，但没有创建任何发布。请参阅如何要求转让废弃或先前注册的项目名称？

我该如何声明一个被遗弃或以前已注册的项目名称？

遵循PEP 541中的“如何请求名称转让”部分。

PyPI上项目可用的协作角色有哪些？

协作者有两种可能的角色

维护者：可以为软件包上传发布。不能添加协作者。不能删除文件、发布或整个项目。

所有者：可以上传发布。可以添加其他协作者。可以删除文件、发布或整个项目。

我该如何成为PyPI上项目的所有者/维护者？

只有当前项目所有者才有权添加新的所有者或维护者。如果您需要请求所有权，应直接联系项目的当前所有者。许多项目所有者在项目页面的“Meta”详情中的“作者”字段提供了他们的联系信息。

如果所有者无响应，请参阅如何要求转让废弃或先前注册的项目名称？

我如何以不同的格式上传项目描述？

当使用pyproject.toml为项目元数据时，您可以使用readme字段值的扩展来控制PyPI如何渲染您的描述。

例如，readme = "README.md"将描述渲染为Markdown，而readme = "README.rst"将渲染为reStructuredText

有关可用格式的详细信息，请参阅Python打包用户指南

有关如何检查描述的有效性，请参阅：为什么我得到“描述渲染失败”错误？

我该如何为我的项目申请文件大小限制豁免或增加？

如果您无法将项目的发布版上传到PyPI，因为您达到了上传文件大小限制（默认为100.0 MiB；各个项目可能不同），我们有时可以增加您的限制。确保您已至少上传了一个低于限制的发布版（一个开发版版本号是可以的）。然后，提交一个issue并告诉我们

• PyPI（或Test PyPI）上您的项目的链接
• 您的发布版的大小，以兆字节为单位
• 您需要增加哪些索引/索引（PyPI、Test PyPI或两者都要）
• 您项目的简要描述，包括额外大小的原因。

我该如何为我的项目申请总大小限制豁免或增加？

如果您无法将项目的发布版上传到PyPI，因为您达到了项目大小限制（默认为10.0 GiB；各个项目可能不同），首先删除任何不必要的发布版或单个文件以降低您的整体项目大小。

如果不可能做到这一点，我们有时可以增加您的限制。提交一个issue并告诉我们

• PyPI（或Test PyPI）上您的项目的链接
• 您项目的总大小，以吉字节为单位
• 您项目的简要描述，包括额外大小的原因。

PyPI从哪里获取项目漏洞数据，我该如何更正它？

PyPI从开源漏洞项目接收其上托管包的漏洞报告，该项目反过来又从Python打包咨询数据库中获取漏洞。

如果您认为您项目的漏洞数据无效或不正确，请提交一个包含详细信息的issue。

我该如何恢复已删除的项目、版本或文件？

PyPI上项目、发布版或文件的删除是永久性的且不可逆的，没有例外。删除项目将使其无法卸载，并将项目名称释放供任何其他PyPI用户使用。已删除的文件不能重新上传。已删除的项目、发布版或文件无法由PyPI管理员恢复。

故障排除

为什么我收到“描述无法渲染”错误？

如果包描述无法渲染，PyPI将拒绝上传。您可以使用twine的检查命令在本地检查描述的有效性。

我忘记了PyPI密码。你能帮我吗？

如果您忘记了PyPI密码，但记得您的电子邮件地址或用户名，请按照以下步骤重置您的密码

1. 前往重置密码。
2. 输入您用于PyPI的电子邮件地址或用户名并提交表单。
3. 您将收到一封包含密码重置链接的电子邮件。

我失去了对我的PyPI账户的访问。你能帮我吗？

如果您无法访问您的PyPI帐户或无法完全验证它，原因如下

• 无法访问与您的帐户关联的电子邮件地址
• 意外注册了您无法验证的电子邮件地址
• 丢失了双因素认证的应用程序、设备和恢复码（点击查看）、（点击查看）和（点击查看）

您可以前往我们的问题跟踪器提交问题，请求账户恢复帮助。

为什么我在上传文件时收到“无效或不存在认证信息”错误？

1. 请确保您的API令牌有效且未被吊销。
2. 请确保您的API令牌格式正确（点击查看），且不包含任何尾随字符，如换行符。
3. 请使用用户名__token__。

请记住，PyPI和TestPyPI都需要您创建账户，因此您的凭证可能不同。

如果您使用的是Windows并且尝试在命令提示符或PowerShell中粘贴令牌，请注意Ctrl-V和Shift+Insert将不会起作用。相反，您可以使用窗口菜单中的“编辑 > 粘贴”，或者在“属性”中启用“使用Ctrl+Shift+C/V作为复制/粘贴”。这是Python的getpass模块的一个已知问题。

为什么我在执行pip install时收到“未找到匹配的发行版”或“无法获取URL”错误？

传输层安全性（TLS）是我们确保您的计算机与PyPI之间连接私密和安全的一部分。这是一个经过时间考验的加密协议。PyPI在2018年4月停用了TLS 1.0和1.1版本的支持。请在PSF博客上了解更多原因。

如果您在使用pip install时遇到问题，并收到“没有找到匹配的发行版”或“无法获取URL”的错误，请尝试在命令中添加-v以获取更多信息。

pip install --upgrade -v pip

如果您看到类似于“确认SSL证书出现问题”或“tlsv1警报协议版本”或“TLSV1_ALERT_PROTOCOL_VERSION”的错误，您需要使用支持较新TLS的库连接到PyPI。

您需要采取的具体步骤将取决于您的操作系统版本、Python安装的来源（python.org、您的操作系统供应商或中间分销商），以及Python、setuptools和pip的安装版本。

如有帮助，请访问Libera上的#pypa IRC频道，在pypa/packaging-problems/issues提交问题，或者在Discourse上讨论，包括您的操作系统和安装详情以及pip install --upgrade -vvv pip的输出。

我在使用PyPI网站时遇到麻烦。你能帮我吗？

我们非常重视无障碍访问，并希望让网站对每个人来说都易于使用。

如果您遇到无障碍访问问题，请在GitHub上向我们报告，以便我们尝试解决问题，为您和其他人。

为什么我无法通过浏览器界面手动上传文件到PyPI？

在PyPI的早期版本中，维护者可以使用网页浏览器中的表单上传发行版到PyPI。这个功能在新版本的PyPI中被弃用——我们建议您使用twine将您的项目上传到PyPI。

为什么我的包或用户注册被阻止？

垃圾邮件发送者定期返回PyPI，希望在该网站上放置他们的搜索引擎优化钓鱼、欺诈和点击农场内容。由于PyPI允许索引与项目和相关的长描述以及其他数据，并且拥有良好的搜索声誉，因此它是一个主要的目标。

当 PyPI 管理员被垃圾邮件 或 确定PyPI存在其他威胁时，可能会禁用新用户注册和/或新项目注册。请检查我们的状态页面以获取更多详细信息，因为我们可能会更新干预的理由。

为什么我收到“文件名或内容已存在”或“文件名已被以前使用”错误？

PyPI会因以下原因返回这些错误：

• 文件名已被使用且文件存在
• 文件名已被使用，但文件不再存在
• 存在与文件完全相同内容的一个文件

PyPI不允许重复使用文件名，即使项目已删除并重新创建。

PyPI上的发行文件名由项目名称、版本号和发行类型组合而成。

这确保了给定项目的给定版本的给定发行版始终解析到同一文件，并且不能被项目维护者或恶意方秘密更改（只能被删除）。

为了避免这种情况，在大多数情况下，您需要更改版本号到一个之前未上传到PyPI的版本，重新构建发行版，然后上传新的发行版。

我该如何请求新的Trove分类器？

如果您想请求新的trove分类器文件，请在pypa/trove-classifiers项目上提交一个pull request。请确保包括简要的理由说明为什么这很重要。

我在哪里可以报告错误或提供关于PyPI的反馈？

如果您遇到PyPI本身的问题，我们欢迎通过我们的问题跟踪器提供有建设性的反馈和错误报告。请注意，此跟踪器仅用于PyPI运行的软件的问题。在撰写新的问题之前，请首先检查是否存在类似的问题。

如果您遇到特定于从PyPI安装的软件包的问题，您应直接联系该项目的维护者。

我在设置基于时间的单次密码（TOTP）认证应用时遇到麻烦。你能帮我吗？

如果您在设置TOTP设备时遇到问题，可能是因为您的设备时间不同步。请检查您的设备时间是否自动设置，然后再次尝试设置设备。

我的项目说它在隔离中。这是什么意思？

项目可能因多种原因被置于隔离状态，例如恶意活动、垃圾邮件或其他违反使用条款或可接受使用政策的行为。

在隔离期间，客户无法安装项目，并且维护者也无法修改项目。PyPI管理员需要审查该项目后才能恢复。

如果您认为您的项目错误地被标记为隔离，请联系PyPI的[email protected]并提供任何详细信息。

关于

谁维护PyPI？

PyPI由Warehouse项目提供支持；Warehouse是在Python打包权威机构（PyPA）的伞下开发的开源项目，并由Python打包工作组（PackagingWG）支持。

PyPA是一个独立的开发者团队，其目标是改进和维护许多与Python打包相关的核心项目。

PackagingWG是Python软件基金会（PSF）的一个工作组，其目标是筹集和分配资金以支持Python打包的持续改进。最近，它获得了开放技术基金的一项奖励，该资金使得开发者能够改进Warehouse的安全性和可访问性。

什么让PyPI运行？

PyPI 由 仓库 和我们慷慨的赞助商提供的各种工具和服务支持。

我可以依赖PyPI总是可用吗？

截至 2018 年 4 月 16 日，PyPI.org 已经达到“生产”状态，这意味着它已经脱离了测试阶段，并取代了旧网站（pypi.python.org）。现在它已经稳定、经过测试，并准备好处理预期的浏览器和 API 流量。

PyPI 由于我们的赞助商 Fastly 的支持而大量缓存并通过 CDN 分布，因此在全球范围内通常可用。然而，网站主要由志愿者维护，我们不提供任何具体的服务水平协议，并且对于如此庞大的分布式系统来说，问题是难免的。有关当前和过去的中断和事件，请参阅我们的状态页面。如果您对您的包索引有高可用性要求，请考虑使用镜像或私有索引。

我如何为 PyPI 贡献?

为了继续维护和改进 PyPI（也称为仓库项目），我们还有很多工作要做。

财务：我们非常欢迎您的捐赠来资助开发和维护。

开发：仓库是开源的，我们很高兴看到一些新面孔参与项目。您不必是一位经验丰富的开源开发者才能做出贡献——实际上，我们很乐意帮助您完成您的第一个开源拉取请求！

如果您在 Python、全文搜索、HTML、SCSS、JavaScript 或 SQLAlchemy 方面有技能，请查看我们的“入门”指南，然后查看问题跟踪器。我们创建了一个“良好的第一次问题”标签——我们建议您从这里开始。

问题被分组到里程碑中；在当前里程碑中工作是推动项目向前发展的好方法。如果您对某个特定问题感兴趣，请留下评论，我们可以指导您完成贡献过程。

保持更新：您还可以在 Discourse 上的Python 打包论坛上关注项目的持续开发。

我如何跟进 PyPI 的更新变化?

PyPI 的更改通常在pypi-announce 邮件列表和PyPI 博客上宣布。PyPI 博客还有一个RSS源。

我如何获取 PyPI 的 IP 地址列表?

所有流量都通过我们的全球 CDN 路由，其公共 IP 地址列表如下：https://api.fastly.com/public-ip-list。

有关此列表的更多信息，请参阅https://docs.fastly.com/en/guides/accessing-fastlys-ip-ranges。

"beta feature" 徽章代表什么？Warehouse 当前有哪些 beta 特性？

当仓库维护者部署新功能时，最初我们会用一个小“beta 功能”符号标记它们，以告诉您：这应该可以正常工作，但它比其他网站功能测试得更少。

目前，没有任何功能处于 beta 阶段。

如何发音 "PyPI”？

"PyPI" 应该读作 "pie pea eye"，具体来说，“PI”应该分别读作单个字母，而不是作为一个整体发音。这样可以最小化与 PyPy 项目混淆，PyPy 是 Python 语言的一个流行的替代实现。