在生产环境中使用 ConanCenter 包

注意

Conan 2.9.2 中的默认远程更新

从 Conan 2.9.2 版本开始，默认远程仓库已更改为 https://center2.conan.io。之前的默认远程仓库 https://center.conan.io 现在已冻结，将不再接收更新。建议更新您的远程配置以使用新的默认远程仓库，以确保可以访问最新的配方和软件包更新（有关更多信息，请阅读此帖子）。

如果您仍然将已弃用的远程仓库配置为默认仓库，请使用以下命令更新

conan remote update conancenter --url="https://center2.conan.io"

ConanCenter 是一个很棒的资源，其中包含由社区贡献的 1500 多个库和应用程序的配方参考实现。因此，它是一个关于如何为开源依赖项创建和构建 Conan 包的绝佳知识库。

ConanCenter 还为各种配置构建和提供二进制软件包：多个操作系统（Windows、Linux、macOS）、编译器、编译器版本和库变体（共享、静态）。最重要的是，对于许多库，社区贡献者确保配方与额外的操作系统（Android、iOS、FreeBSD、QNX）和 CPU 架构兼容。Conan Center 中的配方是 Conan 通用性承诺的最佳示例。

与其他软件包管理器或存储库不同，ConanCenter 不维护版本的固定快照。相反，对于给定的库（例如 OpenCV），会同时主动维护多个版本。这使得用户可以更好地控制使用哪个版本，而不是必须固定在旧版本上，或者迫使他们始终使用最新版本。

为了支持这个生态系统，ConanCenter 配方更新非常频繁。配方本身可能会更新以支持新平台、错误修复或需要更新版本的依赖项。另一方面，ConanCenter 的每个用户可能在其需求中具有不同的版本组合。这意味着，给定相同的需求列表，Conan 可能会在不同的时间点以不同的方式解析图 - 解析为不同的配方修订版本、版本或软件包。这类似于其他语言（pip/PyPi、npm、cargo 等）中软件包管理器的默认行为。在可重现性很重要的生产环境中，不建议以不受约束的方式直接依赖 Conan Center。

以下指南包含一系列建议，以确保可重复性、可靠性、合规性以及在适用的情况下控制以实现自定义。总而言之，强烈建议在使用 ConanCenter 中的软件包时遵循以下方法

• 使用锁定文件锁定您依赖的版本和修订版本

• 在您控制下的服务器中托管您自己的 ConanCenter 配方和软件包二进制文件的副本

可重复性和可再现性

如前所述，给定一组需求，Conan Center 的更改可能会导致 Conan 依赖关系求解器随着时间的推移解析不同的图。这不仅适用于库的实际版本（例如，opencv/4.5.0 而不是 opencv/4.2.1）- 而且还适用于配方本身。也就是说，可能存在 opencv/4.5.0 配方的多个修订版本，这可能会对消费者产生副作用。配方中的更改通常解决问题（错误修复）、目标功能（例如，添加条件选项、支持新平台）或更改依赖项的版本。

为了确保可重复性，强烈建议在消费者端使用锁定文件：请查看锁定文件文档以获取更多信息。

锁定文件确保 Conan 将以可重复和一致的方式解析相同的图 - 从而确保在多个系统（CI、开发人员等）中使用相同的版本。

锁定文件也用于其他软件包管理器，如 Python pip、Rust Cargo、npm - 这些建议与这些其他技术的实践一致。

此外，强烈建议在您自己的服务器中托管您的配方和软件包（请参见下文）。这两种方法都有助于您控制何时将 ConanCenter 的上游更改传播到您的团队和系统。

服务可靠性

在停机期间（计划内或其他），从 ConanCenter 远程仓库消费配方和软件包可能会受到影响。虽然我们尽一切努力确保 ConanCenter 始终可用，并且计划外停机很少发生且会紧急处理 - 这可能会影响直接依赖 ConanCenter 的用户。此外，从源代码构建配方时，这需要从 ConanCenter 控制之外的远程服务器检索源软件包（通常是 zip 或 tar 文件）。偶尔，这些也可能遭受计划外停机。

在需要强大正常运行时间的企业生产环境中，强烈建议在您控制下的服务器中托管配方和二进制软件包。

• 阅读更多：创建和托管您自己的 Conan Center 二进制文件

这还可以防止瞬时网络问题以及由外部来源传输二进制数据引起的问题。当从任何软件包管理器中的外部来源使用软件包时，这些建议也适用。

合规性和安全性

某些行业（如金融、机器人和嵌入式）对变更管理、开源许可证和可重复性有更强的要求。例如，配方中的更改可能会导致为依赖项解析新的版本，该版本的许可证已更改，需要由您的组织进行验证和审计。在某些行业（如医疗或汽车）中，您可能需要确保所有依赖项都可以通过可重复的方式从源代码构建，因此使用 Conan Center 提供的二进制文件可能并不明智。在这些情况下，我们建议从源代码构建您自己的二进制软件包

• 阅读更多：创建和托管您自己的 Conan Center 二进制文件

控制和自定义

依赖项的用户通常需要对外部库进行自定义更改，这很常见 - 通常是为了支持 ConanCenter 或原始库作者未考虑的特定平台配置、反向移植错误修复等。其中一些更改可能不适合合并到 ConanCenter 中，并且可能要等到 ConanCenter 维护者审查和验证后才会发生。因此，如果您需要严格控制配方中的更改，强烈建议您不仅要托管 Conan 远程仓库，还要托管您自己的 conan-center-index 配方存储库的分支。

• 阅读更多：创建和托管您自己的 Conan Center 二进制文件

以下小节将更详细地描述上述策略

• 创建和托管您自己的 ConanCenter 二进制文件