问将我的网站上传到公共存储库有什么风险/好处？

EN

不，您应该而不是将私有web项目上传到PyPI ( Package )！PyPI是为公开发布的项目准备共享的。

在将包部署到生产服务器时，为web项目创建包具有优势，但这并不要求您的包在PyPI上可用。pip命令行工具可以从其他存储库(包括私有Git或Mercurial或SVN存储库或私有包索引)以及文件系统中查找和安装包。

记录在案:我没有为我最近(帮助)开发的任何一个已部署的烧瓶项目创建包。这些产品是在云托管的硬件和/或Docker容器中投入生产的，直接来自它们的Github存储库。依赖项是用pip安装的(在所有情况下都是由Pipenv工具驱动的)，但是项目代码本身只是直接从签出中加载。

也就是说，如果这些项目开始在生产线上使用持续的集成，那么在生产中使用所产生的测试代码(打包成轮子)也是有意义的。将这些轮子发布到私有索引或服务器上；有几个项目，甚至有几个SaaS服务，可以让您管理私有包索引。

如果你确实发布到PyPI，那么任何人都可以下载你的软件包并分析你的网站是如何工作的。这将使黑帽子黑客在你的项目中找到和利用安全问题的方式变得微不足道。