yarn v2にまつわる誤解 | Wantedly Engineer Blog
現在WantedlyではNode.jsのパッケージ管理にyarn v1を使っています。現在私は開発者体験の改善を目指してyarn v2への移行を検討しているのですが、その過程でyarn v2が誤解されがちだと感じるようになりました。そこで社内への情報提供も兼ねて、いくつか誤解されがちだと思われる点を紹介したいと思います。 (わかりやすさのためにyarn v2と呼んでいますが、 yarn v3以降も含みます。これらはメジャーバージョンアップではあるもののyarn v1→v2のようにアーキテクチャが刷新されるわけではないからです) ポイント1: yarnをv2にするのにPnPは必須ではないyarn PnPはyarn v2の目玉機能で、パッケージをnode_modules以下に展開せずに仮想化してロードできるようにするというものです。node_modulesの展開作業が不要になるほか、依存関係の
yarn whyコマンドを駆使してGitHubセキュリティアラートに対応する
Tweet yarn whyコマンドを駆使してGitHubセキュリティアラートに対応する 色々と教えてもらったので自分の備忘録としてブログにしておきます。 GitHubにはセキュリティアラートという機能があります。 この機能はリポジトリ内の依存ライブラリに脆弱性が発見された場合、アラートを投げてくれるというものです。 リポジトリの設定から機能を有効にしておくだけで、依存ライブラリの脆弱性を自動で検知してくれます。 JavaScriptの場合は定期的にリポジトリ内のpackage.jsonとlockファイルがチェックされれます。 packaeg.jsonやlockファイルの中のライブラリに脆弱性がないかを脆弱性データベースに問い合わせ、脆弱性が検知されたらアラートが発行されます。 ここで重要なことはpackage.jsonだけでなく、lockファイルも確認しているということです。 これはすな
選択的な依存関係の解決 | Yarn
Yarn はバージョンを選択して解決する機能をサポートしており、package.json ファイル内の resolutions フィールドを通じて、依存関係に独自のパッケージのバージョンを定義することができます。 通常、これにより yarn.lock を手動で編集する必要が出てきます。 なぜこれがしたいのか? 依存しているパッケージに重要な更新があっても、頻繁に更新されるわけではないパッケージに依存していることがあるでしょう。 その場合、依存関係が直接指定されたバージョンの範囲において、さらに依存しているパッケージ(サブ依存関係のパッケージ)の更新されたバージョンをカバーしていないなら、作者の対応を待たなければなりません。 プロジェクトでサブ依存関係にあるパッケージが重要なセキュリティ上の更新があり、依存関係にあるパッケージが最小のバージョン更新を行うまで待てないことがあります。 メンテナ
LernaとYarn WorkspacesでMonorepo管理 - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、フロントエンドエキスパートチームの小林(@koba04)です。 本記事では、Lerna と Yarn Workspaces を使った Monorepo 管理について解説します。 Monorepoとは 本記事では、単一のリポジトリで複数のモジュールやパッケージ(今回の場合は npm パッケージ)を管理する手法を Monorepo と呼んでいます。 有名なところだと、Babel や Jest、Create React App などが後述する Lerna を使い複数パッケージを単一のリポジトリで管理しています。 他にも React も Lerna は使っていませんが単一リポジトリで複数パッケージを管理しています。 また、上記のようなライブラリ以外にも企業で利用している npm パッケージを Monorepo として管理している例もあります。下記は Shopify の例です。 pack
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
