大公司通常倾向于定义需要在开发团队中实施的策略。有时，策略定义了要实施的确切安全措施，因此在采取行动之前必须了解策略和要求

话虽如此，我记得曾见过使用以下方法的项目和客户：

1. Excel文件中包含的允许和不允许的库的列表。如果清单上有什么东西-没关系。如果没有，要么不要使用，要么去找更高层次的架构师加入这个库。如果您使用的库不在生产代码的列表中，那么您就不符合要求，需要修复它。（我知道，这种软方法听起来像是一场灾难，但实际上并非如此。通常开发人员倾向于使用库，因为他们节省时间并提供功能，而不是因为他们愿意让他们的雇主进行黑客攻击，因此处理小的不符合性往往比您下面看到的花费更少的时间）
2. 创建仅包含允许的库的存储库。让开发团队只使用存储库。这是一个限制性更强的版本1。缺点是它需要大量的维护，而且维护速度相当快，因此它包含所有最新的库版本。我不是python方面的专家，但对我来说它看起来相当简单：https://packaging.python.org/guides/hosting-your-own-index/。您可以通过一个Apache实例和一点脚本来管理它

第2点的好处是，公司通常已经有了某种缓存代理。我记得其中一家公司是如何被Maven禁止的，因为开发人员一直在用未缓存的请求杀死存储库。因此，应该已经有了一些东西，人们可以在此基础上构建解决方案