Python潮流周刊#3：PyPI 的安全问题

Posted 2023-05-27 豌豆花下猫

你好，我是豌豆花下猫。这里记录每周值得分享的 Python 及通用技术内容，部分为英文，已在小标题注明。（标题取自其中一则分享，不代表全部内容都是该主题，特此声明。）

文章&教程

1、掌握Python面向对象编程的关键：类与对象

介绍类和对象概念，通过示例展示 Python 中的类和对象如何工作，包括定义、实例化和继承等。文章出自《Python全景系列》，目前已更新七篇。

2、umongo + motor: 构建高效 MongoDB 应用的最佳组合

介绍如何在 Tornado 中集成 umongo 和 motor，实现用异步非阻塞的方式与 MongoDB 进行交互。文章出自《tornado 并发编程系列》，目前已更新六篇。

3、徒手使用 LangChain 搭建一个 ChatGPT PDF 知识库

演示了如何使用 langchain 和 ChatGPT 搭建一个本地的 PDF 知识库，文中使用了 pdfplumber 处理 PDF 文件、使用 streamlit 绘制 UI 界面。知识库搭建和使用流程图如下：

4、Python 真的是靠一个 switch 来执行字节码的吗？

一个流行的观点说：CPython 有一个大switch，会根据不同的 opcode 跳到相应的 case 分支去执行字节码。文章提出了质疑，最后的结论是：只要 Python 启用了 computed goto （比如在 Mac 和 Linux 上），字节码的执行就不依赖 switch。而这个功能在 Python 3.2 中就已是默认开启的。

5、SQLite 的文艺复兴

文章的开头把我震惊了：“SQLite 源码有 15 多万行，但测试代码和脚本竟有九千多万行”！文章介绍了 SQLite 的架构，以及多个基于它的开源项目，如 Litefs、sql.js、absurd-sql、postlite、sqlite3vfshttp 等等，回答了为什么 SQLite 能在如此多领域有创新的项目出现？

6、八十行代码实现开源的 Midjourney、Stable Diffusion “咒语”作图工具

通过 Docker 和 80 行左右的 Python 代码，实现一款类似 Midjourney 官方图片解析功能 Describe 的 Prompt 工具。提供了两个版本的工具，分别支持 CPU 和 GPU 推理使用。

7、像写 Rust 一样写 Python（英文）

分享了从 Rust 中学到的一些编程习惯：使用类型提示、使用数据类代替元组或字典、使用代数数据类型、使用“newtype”、使用构造函数、使用互斥锁等。总体而言，它们并不是那些“个人喜好式”的编程风格，而是切实能提升代码健壮性和可维护性的编程经验。

8、一系列的 Flask 小贴士（英文）这个《Flask Tips》栏目已分享了 58 个使用 Flask 的小知识，另外其作者在最新的博文《我开发 Flask 程序时最喜欢用的库》中，介绍了 APIFairy、Frozen-Flask、Flask-SQLAlchemy 等 10 个常用的库。

9、Celery 的诸多问题（英文）

Celery 是一个分布式任务队列库，用于实现异步处理和定时任务等功能。但它有很多“问题”，这篇文章一口气列出了 15 个，是一份避坑指南。不过，并非所有问题都有解决方案，比如说它 API 接口不够 Pythonic、没有类型检查等，这些就只能“Live with it”了……

10、Python 借助 Gopy 库实现调用 Go 包（英文）

作者遇到一个静态验证 PromQL 查询的需求，但没有可用的 Python 库。文章介绍了使用 Gopy 将 Go 代码编译成 wheel 文件的方法，另外也提醒几个注意事项，比如对错误的处理、操作系统的兼容性问题、调试和测试的问题。

11、最适用于 Pandas 的文件格式（英文）

使用 Pandas 前需要加载数据，它支持非常多种数据格式，但哪种才最合适呢？文中给出了三个衡量标准（类型支持、磁盘格式、读写速率），并测试了三种数据文件（CSV、JSON 和 Parquet），你猜最后的结论是什么呢？

12、关于 PyPI 的一系列新闻/文章（英文）

PyPI 在 3 月上线了官方博客，5 月初刚宣布获得了 AWS 的 14.4 万美元赞助，用于开设一个新的安全工程师职位。巧的是本周密集出现了几件与安全相关的事情。

• 5.21，PyPI 在连续一周受到恶意软件的侵扰后，临时暂停了新用户的注册及新项目的上传。（这有一篇文章，提到一则有相关性的新闻，这些恶意软件可能是趁 ChatGPT 的热点，通过窃取剪贴板内容从而劫持加密货币交易）
• 5.23，PyPI 宣布移除 PGP 签名，因为近三年上传的签名仅有 36% 为有效的，移除这项功能有利于降低维护成本。（这有一篇文章，使用大量数据和统计图分析了 PyPI 上糟糕的 PGP 情况）
• 5.24，PyPI 发了一篇博客，披露 PSF 收到了美国司法部的三张要求提供 PyPI 用户数据的传票，在律师的建议下，他们提供了司法部索要的数据，并公开了传票的相关细节。
• 5.25，PyPI 发布《通过双因素身份验证保护 PyPI 帐户》，宣布在 2023 年底前，PyPI 上的帐户都必须启用双重验证（2FA），以此提升账户的安全性。
• 5.26，PyPI 发布《减少 PyPI 中存储的 IP 数据》，介绍了团队出于不存储用户 IP 的目的而做的一些事情，试图既要保护用户的隐私，又能更好地运维管理。

项目&资源

1、CyberWaifu：使用 LLM 和 TTS 实现的聊天机器人

使用 LangChain 作为 LLM 主体框架，使用 go-cqhttp 进行 QQ 机器人部署，TTS 支持 vits、edge-tts，语言模型支持ChatGPT 和 Claude。

2、FastGPT：基于 openai 搭建的知识库平台

技术栈: NextJs + TS + ChakraUI + Mongo + Postgres，支持私有化部署，可以在线体验。

3、jesth：更具可读性的数据序列化格式（英文）

文档将这种新格式与 TOML、YAML 和 JSON 分别做了对比，并详细展示了在 Python 中的使用方法。

4、trogon：为 CLI 程序生成友好的用户界面（英文）

命令行程序本就是无界面的，但是这对于用户来说不够友好。这个项目可以生成美观的界面，用于编辑和运行命令。

5、ipyflow：用于 Jupyter 笔记本的响应式 Python 内核（英文）

可在交互式会话期间，跟踪符号和单元格之间的数据流关系，支持的功能：显示执行建议、支持响应式执行、语法拓展、集成了 ipywidgets，等等。

6、solara：一个纯 python、React-风格的框架（英文）

solara 可使用 Reacton（纯 Python 实现的 React）创建基于 ipywidget 的程序。可用在 Jupyter Notebook，也可以作为独立的 Web 程序在 FastAPI 等框架中使用。

7、Python 3.12 的 beta 1 版本已发布（英文）

3.12 的最终版本计划在 10 月 2 日发布，目前发布了 beta 1 版本，意味着不会再加入新功能。总体而言，这个版本更为精简了（删除了很多函数、类和方法），性能方面也有很多优化。值得一提的是，这个版本虽然引入了 PEP-684（每个子解释器的独立 GIL），但需要等 3.13 版本实现 PEP-554（标准库中的多解释器）后，才真正的可用。

8、对比 Python 与 Rust 的编程习惯用法（英文）

这是一个有意思的网站，可比较不同编程语言在 300 多项习惯用法上的区别，提升学习效率。我们这里比较了 Python 和 Rust，在网站首页可选的语言有 30 种。

播客&视频

1、哈佛大学的 Python 编程入门课程（英文）

哈佛大学计算机科学专业的入门课程，向初学者介绍计算机科学和编程基础，以及如何使用 Python 进行编程。目前已有 50 万人参与学习。

2、推荐 10 个最好用的 Django 插件（英文）

这期视频中，《Django by Example》书籍的作者推荐了 10 个 Django 插件，例如 Django Debug Toolbar、Django REST Framework、Django Channels，等等。

问题&讨论

1、Windows 要支持 tar、7-zip、rar、gz 等格式啦？（英文）

来自一则匿名爆料，Windows 要利用开源项目 libarchive 实现对 rar 等格式的支持了。这会是真的么？

2、构建 API 的最佳语言——TS/JS vs. Python（英文）

从可维护性、优雅性、灵活性和开发速度的角度来看，这两种语言的 API 开发体验哪种更好？

赞助&支持

内容创作不易，如果你觉得有帮助，请随意赞赏、买杯咖啡或在爱发电进行支持！如果你喜欢本周刊，请转发分享给其他需要的同学～

另诚邀赞助者，欢迎通过私信联系。

关于周刊

Python 潮流周刊，精心筛选国内外的 200+ 信息源，为你挑选最值得分享的文章、教程、开源项目、软件工具、播客和视频、热门话题等内容。愿景：帮助所有读者精进 Python 技术，并增长职业和副业的收入。

订阅方式：Python猫 | RSS | 邮件 | Github | Telegram | Twitter

详细介绍去一年在 PyPI 上下载次数最多的 Python 包

前言

我们从最常用的 Python 包入手，去解答上述这个问题。最初，我列出过去一年在 PyPI 上下载次数最多的 Python 包。接下来，深入研究其用途、它们之间的关系和它们备受欢迎的原因。

 

Urllib3

下载次数：8.93 亿

Urllib3是一个 Python 的 HTTP 客户端，它拥有 Python 标准库中缺少的许多功能：

• 线程安全
• 连接池
• 客户端 SSL/TLS 验证
• 使用分段编码上传文件
• 用来重试请求和处理 HTTP 重定向的助手
• 支持 gzip 和 deflate 编码
• HTTP 和 SOCKS 的代理支持

不要被名字所误导，Urllib3并不是urllib2的后继者，而后者是 Python 核心的一部分。如果你想使用尽可能多的 Python 核心功能，或者你能安装什么东西是受限，那么请查看 urlllib.request。

https://docs.python.org/3/library/urllib.request.html#module-urllib.request

对最终用户来说，我强烈建议使用 requests 包（参阅列表中的 #6）。这个包之所以会排名第一，是因为有差不多 1200 个包依赖 urllib3，其中许多包在这个列表中的排名也很高。

Six

下载次数：7.32 亿

six 是一个是 Python 2 和 3 的兼容性库。这个项目旨在支持可同时运行在 Python 2 和 3 上的代码库。

它提供了许多可简化 Python 2 和 3 之间语法差异的函数。一个容易理解的例子是six.print_()。在 Python 3 中，打印是通过print()函数完成的，而在 Python 2 中，print后面没有括号。因此，有了six.print_()后，你就可以使用一个语句来同时支持两种语言。

一些事实：

• 它的名字叫six，是因为二乘以三等于六。
• 同类库还可以看看future包。
• 如果你要将代码转换为 Python3（并停止支持 2），请查看 2to3。

虽然我理解它为什么这么受欢迎，但我希望人们能完全放弃 Python 2，因为要知道从 2020 年 1 月 1 日起 Python 2 的官方支持就已停止。

 

botocore、boto3、s3transfer、awscli

这里，我把相关的几个项目列在一起：

botocore（#3，6.6 亿次下载）

s3transfer（#7，5.84 亿次下载）

awscli（#17，3.94 亿次下载）

boto3（#22，3.29 亿次下载）

Botocore是 AWS 的底层接口。Botocore是 Boto3 库（#22）的基础，后者让你可以使用 Amazon S3 和 Amazon EC2 一类的服务。Botocore 还是 AWS-CLI 的基础，后者为 AWS 提供统一的命令行界面。

S3transfer（#7）是用于管理 Amazon S3 传输的 Python 库。它正在积极开发中，其介绍页面不推荐人们现在使用，或者至少等版本固定下来再用，因为其 API 可能发生变化，在次要版本之间都可能更改。Boto3、AWS-CLI和其他许多项目都依赖s3transfer。

令人惊讶的是，这些针对 AWS 库的排名竟如此之高——这充分说明了 AWS 有多厉害。

 

Pip

下载次数：6.27 亿

 

 

我想，你们大多数人都知道并且很喜欢 pip，它是 Python 的包安装器。你可以用 pip 轻松地从 Python 包索引和其他索引（例如本地镜像或带有私有软件的自定义索引）来安装软件包。

有关 pip 的一些有趣事实：

• pip是“Pip Installs Packages”的首字母递归缩写。
• pip很容易使用。要安装一个包只需pip install <package name>即可，而删除包只需pip uninstall <package name>即可。
• 最大优点之一是它可以获取包列表，通常以requirements.txt文件的形式获取。该文件能选择包含所需版本的详细规范。大多数 Python 项目都包含这样的文件。
• 如果结合使用pip与virtualenv（列表中的 #57），就可以创建可预测的隔离环境，同时不会干扰底层系统，反之亦然。要了解更多细节，请查看这篇文章：

 

 

Python-dateutil

下载次数：6.17 亿

python-dateutil模块提供了对标准datetime模块的强大扩展。我的经验是，常规的Python datetime缺少哪些功能，python-dateutil就能补足那一块。

你可以用这个库做很多很棒的事情。其中，我发现的一个特别有用的功能就是：模糊解析日志文件中的日期，例如：

rom dateutil.parser import parse

logline = ‘INFO 2020-01-01T00:00:01 Happy new year, human.‘
timestamp = parse(log_line, fuzzy=True)
print(timestamp)
# 2020-01-01 00:00:01

Requests

下载次数：6.11 亿

Requests建立在我们的 #1 库——urllib3基础上。它让 Web 请求变得非常简单。相比urllib3来说，很多人更喜欢这个包。而且使用它的最终用户可能也比urllib3更多。后者更偏底层，并且考虑到它对内部的控制级别，它一般是作为其他项目的依赖项。

下面这个例子说明 requests 用起来有多简单：

import requests

r = requests.get(‘https://api.github.com/user‘, auth=(‘user‘, ‘pass‘))
r.status_code
# 200
r.headers[‘content-type‘]
# ‘application/json; charset=utf8‘
r.encoding
# ‘utf-8‘
r.text
# u‘{"type":"User"...‘
r.json()
# {u‘disk_usage‘: 368627, u‘private_gists‘: 484, ...}

 

S3transfer

这里把 #3、#7、#17 和 #22 放在一起介绍，因为它们的关系非常密切。

Certifi

下载次数：5.52 亿

近年来，几乎所有网站都转向 SSL，你可以通过地址栏中的小锁符号来识别它。加了小锁意味着与该站点的通信是安全和加密的，能防止窃听行为。

 

小锁告诉我们此网站已使用 SSL 保护

加密过程是基于 SSL 证书的，并且这些 SSL 证书由受信任的公司或非营利组织（如 LetsEncrypt）创建。这些组织使用他们的（中间）证书对这些证书进行数字签名。

你的浏览器使用这些证书的公开可用部分来验证这些签名，这样就能确保你正查看的是真实内容，并且没有人能窥探到通信数据。Python 软件也能做同样事情。这就是 certifi 的用途所在。它与 Chrome、Firefox 和 Edge 等网络浏览器随附的根证书集合没有太大区别。

Certifi是根证书的一个精选集合，有了它，你的 Python 代码就能验证 SSL 证书的可信度。

如此处所示，许多项目信任并依赖 certifi。这也是该项目排名如此之高的原因所在。

 

Idna

下载次数：5.27 亿

根据其 PyPI 页面，idna提供了“对 RFC5891 中指定的应用程序中国际化域名（IDNA）协议的支持。”

可能你像我一样也是一头雾水，不知道Idna是什么，有什么用！据悉，应用程序中的国际化域名（IDNA）是一种用来处理包含非 ASCII 字符的域名机制。但是，原始域名系统已经提供对基于非 ASCII 字符的域名支持。所以，哪有问题？

 

问题在于应用程序（例如电子邮件客户端和 Web 浏览器）不支持非 ASCII 字符。更具体地说，电子邮件和 HTTP 用的协议不支持这些字符。对许多国家来说，这没什么问题，但是像中国、俄罗斯、德国、希腊和印度尼西亚等国家，这是个问题。最后，来自这些地方的一群聪明人想到 IDNA。

IDNA的核心是两个函数：ToASCII和ToUnicode。ToASCII会将国际 Unicode 域转换为 ASCII 字符串。ToUnicode则逆转该过程。在IDNA包中，这些函数称为idna.encode()和idna.decode()，如以下代码片段所示：

import idna
idna.encode(‘ドメイン.テスト‘)
# b‘xn--eckwd4c7c.xn--zckzah‘
print(idna.decode(‘xn--eckwd4c7c.xn--zckzah‘))
# ドメイン.テスト

如果你是受虐狂，则可以阅读 RFC-3490 了解这一编码的详细信息。

 

PyYAML

下载次数：5.25 亿

YAML是一种数据序列化格式。它的设计宗旨是让人类和计算机都能很容易地阅读代码——人类很容易读写它的内容，计算机也可以解析它。

 

 

PyYAML是 Python 的YAML解析器和发射器，这意味着它可以读写YAML。它会把任何 Python 对象写成YAML：列表、字典，甚至是类实例都包括在内。

Python 提供了自己的配置解析器，但是与 Python 的ConfigParser的基本.ini文件结构相比，YAML 提供更多功能。

https://docs.python.org/3/library/configparser.html

例如，YAML可以存储任何数据类型：布尔值、列表、浮点数等等。ConfigParser会将所有内容存储为内部字符串。如果要使用ConfigParser加载整数，则你需要指定自己要显式获取一个int：

config.getint(“section”, “my_int”)

pyyaml能自动识别类型，所以这将使用PyYAML返回你的int：

config[“section”][“my_int”]

YAML还允许任意的 deep trees，虽然不是每个项目都需要这种东西，但是需要时，它就可以派上用场。你可能有自己的偏好，但是许多项目都使用YAML作为配置文件，所以这个项目是很受欢迎的。

 

Pyasn1

下载次数：5.12 亿

像上面的IDNA一样，这个项目也非常有用：

ASN.1 类型和 DER/BER/CER 编码（X.208）的纯 Python 实现

所幸这个已有数十年历史的标准有很多信息可用。ASN.1是 Abstract Syntax Notation One 的缩写，它就像是数据序列化的教父。它来自电信行业。也许你知道协议缓冲区或 Apache Thrift？这就是它们的 1984 年版本。

ASN.1 描述了系统之间的跨平台接口，以及可以通过该接口发送的数据结构。

还记得 Certifi（请参阅 #8）吗？ASN.1 用于定义 HTTPS 协议和其他许多加密系统中使用的证书格式。它也用在了 SNMP、LDAP、Kerberos、UMTS、LTE 和 VOIP 协议中。

一个建议，除非你真的需要，否则还是敬而远之吧。但由于它用在很多地方，因此许多包都依赖这个包。

Docutils

下载次数：5.08 亿

Docutils是一个模块化系统，用来将纯文本文档处理为很多有用的格式，例如 HTML、XML 和 LaTeX 等。Docutils能读取reStructuredText格式的纯文本文档，这种格式是类似于 MarkDown 的易读标记语法。

那么什么是 PEP 文档？最早的 PEP 文档，PEP-1 为我们提供很好的解释：

PEP 的意思是 Python 增强提案。一个 PEP 就是一个设计文档，用来向 Python 社区提供信息，或描述 Python 或其过程或环境的新功能。PEP 应该提供该功能的简明技术规范以及功能的原理。

PEP 文档使用固定的reStructuredText模板编写，并使用docutils转换为格式正确的文档。

Docutils 也是Sphinx的核心。Sphinx用于创建文档项目。如果Docutils是一台机器，则Sphinx就是工厂。它最初是为了构建 Python 文档而创建的，但其他许多项目也使用它为代码提供文档。你可能已经读过 readthedocs.org 上的文档，那里的大多数文档都是由Sphinx和docutils创建的。

Chardet

下载次数：5.01 亿

你可以用chardet模块来检测文件或数据流的字符集。比如说，需要分析大量随机文本时，这会很有用。但你也可以在处理远程下载的数据，但不知道用的是什么字符集时使用它。

安装chardet后，你还有一个名为chardetect的命令行工具，用法如下：

chardetect somefile.txt
somefile.txt: ascii with confidence 1.0

你还能通过编程方式使用这个库，具体参阅文档。Chardet是requests等许多包的需求。我觉得没有多少人会单独使用chardet，所以它这么流行肯定是因为这些依赖项。

 

RSA

下载次数：4.92 亿

rsa包是一个纯 Python 的 RSA 实现。它支持：

• 加密和解密
• 签名和验证签名
• 根据 PKCS#1 1.5 版生成密钥

它既可以用作 Python 库，也能在命令行中使用。

一些事实：

• RSA 是 RonRivest、Adi Shamir 和 Leonard Adleman 三人姓的首字母。他们在 1977 年发明该算法。
• RSA 是最早的公钥密码系统之一，被广泛用于安全数据传输。在这样的密码系统中，有两个密钥：公共部分和私有部分。你用公钥加密数据，只能用私钥解密数据。
• RSA 是一种 slow algorithm。它很少用于直接加密用户数据。通常，RSA 用于安全传递对称密钥加密的共享密钥，这样加密和解密大量数据时会快得多。

以下代码段展示了如何在一个非常简单的用例中使用 RSA：

import rsa

# Bob creates a key pair:
(bob_pub, bob_priv) = rsa.newkeys(512)

# Alice ecnrypts a message for Bob
# with his public key
crypto = rsa.encrypt(‘hello Bob!‘, bob_pub)

# When Bob gets the message, he
# decrypts it with his private key:
message = rsa.decrypt(crypto, bob_priv)
print(message.decode(‘utf8‘))
# hello Bob!

假设 Bob 保留自己的私钥 private，那么 Alice 可以确定他是唯一可以阅读该消息的人。但是，Bob 不能确定是 Alice 发送了该消息，因为任何人都可以获取并使用他的公钥。为证明是她，Alice 可以用她的私钥在邮件上签名。Bob 可以用她的公钥验证此签名，确保消息的确是她发送的。

诸如google-auth（#37）、oauthlib（#54）、awscli（#17）之类的包都依赖rsa包。很少有人会将这个工具独立使用，因为有更快、更原生的替代方法。

Jmespath

下载次数：4.73 亿

在 Python 中用 JSON 非常容易，因为它在 Python 字典上的映射非常好。对我来说，这是它最好的特性之一。

 

 

实话实说——尽管我已经用 JSON 做过很多工作，但我从未听说过这个包。我只是用 json.loads() 并从字典中手动获取数据，也许再搞个循环什么的。

JMESPath，发音为“James path”，使 Python 中的 JSON 更容易使用。它允许你声明性地指定如何从 JSON 文档中提取元素。以下是一些基本示例：

import jmespath

# Get a specific element
d = {"foo": {"bar": "baz"}}
print(jmespath.search(‘foo.bar‘, d))
# baz

# Using a wildcard to get all names
d = {"foo": {"bar": [{"name": "one"}, {"name": "two"}]}}
print(jmespath.search(‘foo.bar[*].name‘, d))
# [“one”, “two”]

 

Setuptools

下载次数：4.01 亿

它是用于创建 Python 包的工具。不过，其文档很糟糕。它没有清晰描述它的用途，并且文档中包含无效链接。最好的信息源是这个站点，特别是这个创建 Python 包的指南。

 

Awscli

这里把 #3、#7、#17 和 #22 放在一起介绍，因为它们的关系非常密切。

 

Pytz

下载次数：3.94 亿次

像dateutils（#5）一样，这个库可帮助你处理日期和时间。有时候，时区处理起来可能很麻烦。幸好有这样的包，可以让事情变得简单些。

我自己关于计算机上处理时间的经验总结来说是：始终在内部使用 UTC。仅当生成供人类读取的输出时，才转换为本地时间。

这是pytz用法的示例：

from datetime import datetime
from pytz import timezone

amsterdam = timezone(‘Europe/Amsterdam‘)

ams_time = amsterdam.localize(datetime(2002, 10, 27, 6, 0, 0))
print(ams_time)
# 2002-10-27 06:00:00+01:00

# It will also know when it‘s Summer Time
# in Amsterdam (similar to Daylight Savings Time):
ams_time = amsterdam.localize(datetime(2002, 6, 27, 6, 0, 0))
print(ams_time)
# 2002-06-27 06:00:00+02:00

 

Futures

下载次数：3.89 亿

从 Python 3.2 开始，python 提供current.futures模块，可帮助你实现异步执行。futures 包是该库适用于 Python 2 的 backport。它不适用于 Python3 用户，因为 Python 3 原生提供了该模块。

正如我之前提到的，从 2020 年 1 月 1 日起，Python 2 的官方支持停止。希望我明年重新再来看的时候，这个包不会再出现在前 22 名中吧。

下面是 futures 的基本示例：

from concurrent.futures import ThreadPoolExecutor
from time import sleep

def return_after_5_secs(message):
  sleep(5)
  return message

pool = ThreadPoolExecutor(3)

future = pool.submit(return_after_5_secs,
                     ("Hello world"))

print(future.done())
# False
sleep(5)
print(future.done())
# True
print(future.result())
# Hello World

如你所见，你可以创建一个线程池并提交一个要由这些线程之一执行的函数。同时，你的程序将继续在主线程中运行。这是并行执行程序的简便方法。

20Colorama

下载次数：3.7 亿

使用 Colorama，你可以为终端添加一些颜色：

 

这样做起来非常容易，具体请查看以下示例代码：

from colorama import Fore, Back, Style

print(Fore.RED + ‘some red text‘)
print(Back.GREEN + ‘and with a green background‘)
print(Style.DIM + ‘and in dim text‘)
print(Style.RESET_ALL)
print(‘back to normal now‘)

 

Simplejson

下载次数：3.41 亿

原生的json模块有什么问题，才需要这种高级替代方案呢？并没有！实际上，Python 的json就是simplejson。但是simplejson也有一些优点：

• 它适用于更多的 Python 版本。
• 它比 Python 更新的频率更频繁。
• 它有用 C 编写的（可选）部分，因此速度非常快。

你经常会在支持 JSON 的脚本中看到以下内容：

try:
  import simplejson as json
except ImportError:
  import json

除非你需要标准库中所没有的内容，否则我只会使用json。Simplejson可以比json快很多，因为它有一些用 C 实现的部分。除非你正在处理成千上万个 JSON 文件，否则这种优势对你来说不是什么大事。还可以看看 UltraJSON，它应该更快一些，因为它几乎所有的代码都是用 C 编写的。

Boto3

这里把 #3、#7、#17 和 #22 放在一起介绍，因为它们的关系非常密切。

小结

仅仅介绍这 22 个包恐怕不够，因为排在后面的许多包都是像我们这样最终用户感兴趣的。

通过制作这份列表，我了解到一些新东西：

1. 许多排名靠前的 package（包）都提供某种核心功能，例如处理时间、配置文件、加密和标准化等。它们往往是其他项目的依赖项。
2. 一个常见的主题是连接性。这些包大多允许你连接到服务器和服务，或支持其他包这样做。
3. 剩下的那些是对 Python 的扩展。创建 Python 包的工具、帮助创建文档的工具、创建版本之间兼容性的库等。