YAML in Python parsen — PyYAML, ruamel.yaml und sicheres Laden

Wer in Python mit YAML arbeitet, verwendet mit hoher Wahrscheinlichkeit PyYAML. Es ist die Standard-Bibliothek, existiert seit 2006 und enthält eine Funktion namens yaml.load(), die eine kritische Sicherheitslücke hat, die schon vielen Teams Probleme bereitet hat. Die Lösung ist ein einziges Wort — safe_load — aber man muss verstehen warum, was man dabei aufgibt, und wann die neuere ruamel.yaml-Bibliothek die bessere Wahl ist.

Dieser Leitfaden behandelt praktisches YAML-Parsing in Python: sicheres Laden, Multi-Dokument-Streams, das Serialisieren von Python-Objekten zurück nach YAML, Konfigurationsdatei-Muster mit Standardwerten und Fehlerbehandlung. Alle Beispiele verwenden reale Szenarien — keine Platzhalterdaten.

Installation

bash

pip install pyyaml

# For ruamel.yaml (covered later)
pip install ruamel.yaml

yaml.safe_load() — Die Funktion, die man immer verwenden sollte

Das Wichtigste, was man über PyYAML wissen muss: yaml.load() kann beliebigen Python-Code ausführen, der in einer YAML-Datei eingebettet ist. Das ist kein theoretisches Risiko — es ist ein gut dokumentierter Angriffsvektor. Immer yaml.safe_load() verwenden:

python

import yaml

# DANGEROUS — never use this with untrusted input
data = yaml.load(open('config.yaml'), Loader=yaml.FullLoader)

# SAFE — use this for any YAML from external sources
data = yaml.safe_load(open('config.yaml'))

# The attack: a YAML file could contain this, which executes Python
# !!python/object/apply:os.system ["rm -rf /important-dir"]

Sicherheitshinweis: yaml.safe_load() unterstützt nur Standard-YAML-Typen: Strings, Zahlen, Booleans, null, Listen und Dicts. Es wirft einen ConstructorError, wenn das YAML Python-spezifische Tags wie !!python/object enthält. Das ist genau das gewünschte Verhalten. yaml.full_load() ist sicherer als das alte bare yaml.load(), aber immer noch weniger restriktiv als safe_load(). Mit safe_load() beginnen und nur upgraden, wenn es wirklich benötigt wird.

Eine YAML-Konfigurationsdatei laden

Hier ist ein realistisches Konfigurationslademuster für eine Webanwendung. Wir laden eine YAML-Konfigurationsdatei und verwenden Pythons Dict-Merge, um Standardwerte für alles nicht Angegebene zu setzen:

python

# config.yaml
database:
  host: postgres.internal
  port: 5432
  name: myapp_prod
  pool_size: 10

redis:
  host: redis.internal
  port: 6379

logging:
  level: INFO
  format: json

python

import yaml
from pathlib import Path
from typing import Any

DEFAULT_CONFIG = {
    'database': {
        'host': 'localhost',
        'port': 5432,
        'name': 'myapp',
        'pool_size': 5,
        'ssl': False,
    },
    'redis': {
        'host': 'localhost',
        'port': 6379,
        'db': 0,
    },
    'logging': {
        'level': 'DEBUG',
        'format': 'text',
    }
}

def deep_merge(base: dict, override: dict) -> dict:
    """Recursively merge override into base, returning a new dict."""
    result = base.copy()
    for key, value in override.items():
        if key in result and isinstance(result[key], dict) and isinstance(value, dict):
            result[key] = deep_merge(result[key], value)
        else:
            result[key] = value
    return result

def load_config(config_path: str | Path) -> dict[str, Any]:
    path = Path(config_path)
    if not path.exists():
        raise FileNotFoundError(f"Config file not found: {path}")

    with path.open('r', encoding='utf-8') as f:
        raw = yaml.safe_load(f)

    if raw is None:
        return DEFAULT_CONFIG.copy()

    return deep_merge(DEFAULT_CONFIG, raw)


config = load_config('config.yaml')
print(config['database']['host'])       # postgres.internal
print(config['database']['ssl'])        # False  (from defaults)
print(config['redis']['db'])            # 0  (from defaults)

Python-Objekte nach YAML serialisieren

yaml.dump() serialisiert Python-Dicts, Listen, Strings, Zahlen, Booleans und None nach YAML. Standardmäßig verwendet es den Flow-Stil (geschweifte Klammern inline) — default_flow_style=False für den lesbaren Block-Stil setzen:

python

import yaml
from dataclasses import dataclass, asdict

@dataclass
class ServiceConfig:
    name: str
    replicas: int
    image: str
    port: int
    tags: list[str]

service = ServiceConfig(
    name='payment-api',
    replicas=3,
    image='payment-api:2.4.1',
    port=8080,
    tags=['payments', 'backend', 'critical']
)

# Convert dataclass to dict first, then dump to YAML
output = yaml.dump(
    asdict(service),
    default_flow_style=False,
    sort_keys=False,            # preserve insertion order
    allow_unicode=True
)
print(output)
# image: payment-api:2.4.1
# name: payment-api
# port: 8080
# replicas: 3
# tags:
# - payments
# - backend
# - critical

# Write to file
with open('service-config.yaml', 'w', encoding='utf-8') as f:
    yaml.dump(asdict(service), f, default_flow_style=False, sort_keys=False)

Multi-Dokument-Streams mit load_all

YAML unterstützt mehrere Dokumente in einer einzigen Datei, getrennt durch ---. Das ist üblich bei Kubernetes-Manifesten, wo eine einzelne Datei ein Deployment, einen Service und eine ConfigMap enthalten kann. yaml.safe_load_all() verwenden, um über alle Dokumente zu iterieren:

python

import yaml

# manifests.yaml contains multiple Kubernetes resources separated by ---
with open('manifests.yaml', 'r') as f:
    # safe_load_all returns a generator
    documents = list(yaml.safe_load_all(f))

for doc in documents:
    if doc is None:
        continue
    kind = doc.get('kind', 'Unknown')
    name = doc.get('metadata', {}).get('name', 'unnamed')
    print(f"{kind}: {name}")

# Deployment: payment-api
# Service: payment-api-svc
# ConfigMap: payment-api-config

Mit yaml.dump_all() können auch mehrere Dokumente in einen Stream geschrieben werden:

python

import yaml

documents = [
    {'kind': 'Deployment', 'metadata': {'name': 'api'}, 'spec': {'replicas': 2}},
    {'kind': 'Service', 'metadata': {'name': 'api-svc'}, 'spec': {'port': 80}},
]

output = yaml.dump_all(documents, default_flow_style=False)
print(output)
# kind: Deployment
# metadata:
#   name: api
# spec:
#   replicas: 2
# ---
# kind: Service
# metadata:
#   name: api-svc
# spec:
#   port: 80

ruamel.yaml — Wenn Kommentare erhalten bleiben müssen

PyYAML hat eine wesentliche Einschränkung: Beim Laden werden Kommentare entfernt. Wenn man eine YAML-Datei lädt, modifiziert und zurückschreibt, sind alle Kommentare verschwunden. Für Konfigurationsdateien, die von Menschen gepflegt werden, ist der Verlust von Kommentaren ein K.O.-Kriterium.

ruamel.yaml implementiert einen Round-Trip-Parser, der Kommentare, Schlüsselreihenfolge und Formatierung erhält — standardmäßig zielt es auf die YAML 1.2-Spezifikation ab. Es ist die richtige Wahl, wenn YAML programmatisch bearbeitet wird, das danach von Menschen gelesen wird:

python

from ruamel.yaml import YAML

yaml = YAML()
yaml.preserve_quotes = True

# This config.yaml has important comments we need to keep:
# database:
#   host: localhost  # change this for production
#   port: 5432       # default PostgreSQL port
#   pool_size: 5     # increase under heavy load

with open('config.yaml', 'r') as f:
    config = yaml.load(f)

# Modify a value
config['database']['host'] = 'postgres.prod.internal'
config['database']['pool_size'] = 20

# Write back — comments and formatting are preserved!
with open('config.yaml', 'w') as f:
    yaml.dump(config, f)

# Result:
# database:
#   host: postgres.prod.internal  # change this for production
#   port: 5432                    # default PostgreSQL port
#   pool_size: 20                 # increase under heavy load

PyYAML verwenden, wenn YAML zum Lesen konsumiert wird — Konfiguration in die App parsen, Test-Fixtures laden, Kubernetes-Manifeste programmatisch verarbeiten.
ruamel.yaml verwenden, wenn YAML bearbeitet wird, das von Menschen gepflegt wird — Konfigurationsdateien an Ort und Stelle aktualisieren, Tooling, das CI-Konfigurationen modifiziert, alles, wo der Verlust von Kommentaren problematisch wäre.
ruamel.yaml ist standardmäßig YAML 1.2-konform, was bedeutet, dass das Norway-Problem (NO → false) es nicht betrifft. PyYAML verwendet standardmäßig YAML 1.1.

Fehlerbehandlung

YAML-Parse-Fehler werfen yaml.YAMLError, die Basisklasse aller PyYAML-Ausnahmen. Diese immer abfangen, wenn YAML aus nicht vertrauenswürdigen oder benutzerbereitgestellten Quellen geladen wird:

python

import yaml
from pathlib import Path

def load_user_config(path: str) -> dict:
    try:
        with open(path, 'r', encoding='utf-8') as f:
            data = yaml.safe_load(f)
    except FileNotFoundError:
        raise FileNotFoundError(f"Config file not found: {path}")
    except yaml.scanner.ScannerError as e:
        # Includes line/column info in the error message
        raise ValueError(f"YAML syntax error in {path}:\n{e}")
    except yaml.YAMLError as e:
        raise ValueError(f"Invalid YAML in {path}: {e}")

    if data is None:
        return {}
    if not isinstance(data, dict):
        raise TypeError(f"Expected a YAML mapping at top level, got {type(data).__name__}")

    return data

Struktur nach dem Laden validieren. yaml.safe_load() garantiert nur gültige YAML-Syntax — es validiert nicht die Form der Daten. Eine Konfigurationsdatei mit database: an der Spitze ist gültig; eine Konfigurationsdatei mit einer Liste an der Spitze ist ebenfalls gültiges YAML. Typ- und Strukturprüfungen nach dem Laden hinzufügen oder eine Schema-Validierungsbibliothek wie Pydantic verwenden, um das geladene Dict in ein typisiertes Modell zu parsen.

Fazit

PyYAML deckt den Großteil der YAML-Arbeit in Python ab: immer yaml.safe_load() verwenden (nicht yaml.load()), yaml.safe_load_all() für Multi-Dokument-Streams nutzen, und yaml.dump() mit default_flow_style=False für lesbare Ausgabe einsetzen. Wenn Kommentare erhalten bleiben sollen oder YAML 1.2-Semantik benötigt wird, zu ruamel.yaml wechseln — es ist ein transparentes Upgrade für das Lesen und eine kleine API-Änderung für das Schreiben. Für Syntaxfehler bevor der Code läuft, zeigt der YAML-Validator genau an, welche Zeile und Spalte fehlerhaft ist.

← All YAML articles Browse all categories →