파이썬 의존성 팽창 자동 정리 도구

초록

PyTrim은 파이썬 프로젝트에서 사용되지 않는 패키지와 import 문을 자동으로 탐지·제거하는 엔드‑투‑엔드 시스템이다. 정적 분석 도구와 달리 동적 의존성 해석을 추가해 놓친 의존성을 복구하고, TOML·YAML·setup.py 등 다양한 설정 파일을 파싱해 선언을 정리한다. 평가 결과 37개의 PR을 98.3% 정확도로 재현했으며, 971개 프로젝트 중 39곳에서 실제 PR을 생성해 14개가 머지되었다.

상세 분석

PyTrim은 기존 의존성 팽창 탐지 도구가 제공하는 “탐지만”이라는 한계를 극복하기 위해 세 가지 핵심 모듈을 설계했다. 첫 번째는 동적 의존성 해결기로, 프로젝트를 격리된 가상환경에 설치하고 pipdeptree를 이용해 실제 설치된 패키지 트리를 추출한다. 이 과정은 setup.py 내부에서 파일을 읽어 의존성을 구성하거나 조건부 로직에 의해 달라지는 경우에도 정확히 파악한다는 점에서 정적 파싱 기반 도구보다 5% 정도 더 많은 의존성을 발견한다. 두 번째는 Detector 모듈로, PyCG 기반 호출 그래프 분석기, FawltyDeps, deptry 등 세 가지 기존 도구를 플러그인 형태로 연동한다. PyTrim은 각 도구의 정적 의존성 결과와 동적 해석 결과를 합집합으로 사용해 놓친 의존성을 최소화한다. 세 번째는 Remover 모듈이다. 파이썬 소스 파일은 AST를 이용해 사용되지 않는 import 문을 제거하고, TOML·YAML·INI·requirements.txt 등은 각각 전용 파서 또는 정규식으로 선언을 찾아 삭제한다. 특히 setup.py와 같은 실행 파일은 AST 기반 변환을 적용해 구문 오류 없이 안전하게 수정한다.

시스템 아키텍처는 입력으로 프로젝트 루트 경로만 받으며, 자동으로 새로운 Git 브랜치를 만들고, 변경 사항을 커밋한 뒤 PR과 마크다운 보고서를 생성한다. 이는 “리뷰‑머지” 워크플로우를 완전 자동화함으로써 인간 오류를 크게 감소시킨다.

평가에서는 두 가지 관점에서 효과를 검증했다. 첫째, 기존 연구에서 수집한 37개의 PR을 재현했을 때 59/60 파일을 정확히 복제해 98.33%의 재현 정확도를 보였다. 유일한 실패는 의존성 이름을 옵션 형태로 변형하는 리팩토링(예: pyjwt → pyjwt