CPAN Module Hacks

CPAN Module Hacks akiym YAPC::Tokyo 2019

CPAN モジュールすきですか

モジュールを探す

ソースコードから検索

最近更新されたモジュール

npm CPAN

npm CPAN 作者がフィーチャーされている SYNOPSIS⽂化 CPANにはダウンロード数の計測はない

CPAN モジュールとは何か

*.pm distribution module package Foo; our $VERSION = '0.01'; package
Bar; ... 例: libwww-perl 例: LWP/UserAgent.pm LWP::UserAgent

どのように CPANモジュールは  アップロードされるのか

PAUSE (Perl Authors Upload SErver) PAUSE ID CPAN Index (CPAN上にあるすべてのパッケージの⼀覧)
http://cpan.org/modules/02packages.details.txt.gz LWP::Simple 6.36 E/ET/ETHER/libwww-perl-6.36.tar.gz LWP::UserAgent 6.36 E/ET/ETHER/libwww-perl-6.36.tar.gz ... indexing アップロードされたdistributionから使われているpackageを解析する libwww-perl-6.36.tar.gz release PAUSEにtarballをアップロード tarballの⽣成やアップロードはオーサリングツールを使う

モジュールがインストールされるまで

% cpanm LWP::UserAgent --> Working on LWP::UserAgent Fetching http://www.cpan.org/authors/id/E/ET/ETHER/ libwww-perl-6.36.tar.gz
... OK Configuring libwww-perl-6.36 ... OK Building libwww-perl-6.36 ... OK Successfully installed libwww-perl-6.36 1 distribution installed

CPANクライアント cpanmetadb 02packages.details.txt ① packageから distributionの解決を⾏う cpanm LWP::UserAgent or cpanm
LWP::[email protected] E/ET/ETHER/libwww-perl-6.36.tar.gz

CPANクライアント cpanmetadb BackPAN CPAN mirror 02packages.details.txt www.cpan.org ① packageから distributionの解決を⾏う
② tarballを取ってくる E/ET/ETHER/libwww-perl-6.36.tar.gz http://www.cpan.org/authors/id/E/ET/ETHER/libwww-perl-6.36.tar.gz cpanm LWP::UserAgent or cpanm LWP::[email protected]

CPANクライアント cpanmetadb BackPAN CPAN mirror 02packages.details.txt www.cpan.org ① packageから distributionの解決を⾏う
② tarballを取ってくる E/ET/ETHER/libwww-perl-6.36.tar.gz http://www.cpan.org/authors/id/E/ET/ETHER/libwww-perl-6.36.tar.gz ③ 依存モジュールの解決 Makeﬁle.PL / Build.PLの実⾏のちインストールされる cpanm LWP::UserAgent or cpanm LWP::[email protected]

CPAN モジュールを作る

Minillaを使うオーサリングツール

% cpanm Minilla --with-recommends

% minil new Foo::Bar % cd Foo-Bar % tree ├──
Build.PL ├── Changes ├── LICENSE ├── META.json ├── README.md ├── cpanfile ├── lib │ └── Foo │ └── Bar.pm ├── minil.toml └── t └── 00_compile.t 3 directories, 9 files

% minil release

これだけでモジュールを作ってリリース

Songmuさんの「Minillaを使ったモダンなCPANモジュール開発」が詳しい http://gihyo.jp/dev/serial/01/perl-hackers-hub/005001

CPAN Testersが便利

CPAN モジュールを管理する

ツールの紹介

1999- ? 2002- 2010- 2015- cpan cpanplus cpanminus cpm CPANクライアント

Q. 結局どれを使えばよい？

A. cpm

cpmの利点並列にインストールできる prebuilt機能によりインストール済みならファイルをコピーするだけ cpanﬁle.snapshotから直接解決できる

$ curl -sL --compressed https://git.io/cpm > cpm $ chmod +x
cpm

Carton プロジェクトごとにモジュールの管理バージョンの固定

よくある説明: Rubyでいうところのbundler

% carton install Installing modules using /path/to/cpanfile Successfully installed Module-Pluggable-5.2
Successfully installed Importer-0.025 Successfully installed Test-Simple-1.302160 (upgraded from 1.302073) Successfully installed Scope-Guard-0.21 Successfully installed Term-Table-0.013 Successfully installed Sub-Info-0.002 Successfully installed Test2-Suite-0.000118 7 distributions installed Complete! Modules were installed into /path/to/local % tree . ├── cpanfile ├── cpanfile.snapshot └── local ├── cache │ └── ... └── lib └── perl5 ├── ... cpanﬁleより依存モジュールをlocal/以下にインストール

# carton snapshot format: version 1.0 DISTRIBUTIONS Importer-0.025 pathname: E/EX/EXODIST/Importer-0.025.tar.gz
provides: Importer 0.025 requirements: ExtUtils::MakeMaker 0 perl 5.008001 ... cpanﬁle.snapshotを吐く

snapshot⽣成時の問題プラットフォームによって依存が変わる場合

⼿元で⽣成してコミットせず CIやdocker環境上で⽣成

cpanﬁleのコミットハッシュを保存しておくことで cpanﬁleの変更時のみ⽣成させることができる

cpan-audit 脆弱性のあるモジュールを検査する

モジュールのディレクトリ cpanﬁle / snapshot から探す

% cpan-audit deps Discovered 1 dependencies Mojolicious (requires 7.83) has
1 advisories * CPANSA-Mojolicious-2018-04 This release reverts the addition of stream classes (added in 7.83), which have unfortunately resulted in many Mojolicious applications becoming unstable. While there are no known exploits yet, we've chosen to err on the side of cautiousness and will classify this as a security issue. Affected range: >7.83, <7.92 References: https://github.com/mojolicious/mojo/commit/61f6cbf22c7bf8eb4787bd1014d91ee2416c73e7 Total advisories found: 1

CPANSAというデータベースとして管理されている https://github.com/vti/cpan-security-advisory

"This is a hand- picked database"

Changesから⾃動的に拾える仕組みが欲しい

プライベート CPANを作る

プライベートなモジュールを管理する git submodule ? OrePAN2 ?

もっと簡単に管理したい管理するものを無くしたい

Support 'dist', 'mirror' and 'url' option in cpanﬁle https://github.com/miyagawa/cpanminus/pull/568

requires 'Path::Class', 0.26, dist => "KWILLIAMS/Path-Class-0.26.tar.gz"; requires 'Hash::MultiValue', dist =>
"MIYAGAWA/Hash-MultiValue-0.15.tar.gz"; requires 'Cookie::Baker', dist => "KAZEBURO/Cookie-Baker-0.08.tar.gz", mirror => "http://cpan.cpantesters.org/"; requires 'Try::Tiny', 0.28, url => "http://backpan.perl.org/authors/id/E/ET/ETHER/Try-Tiny-0.28.tar.gz"; cpanﬁleに以下のように書くだけ

つまりtarballを配信できればよい → Amazon S3で

requires 'Private::Module', dist => "AKIYM/Private-Module-0.01.tar.gz", mirror => "https://xxx.s3-ap-northeast-1.amazonaws.com/"; • /authors/id/A/AK/AKIYM/Private-Module-0.01.tar.gz 
として配置する必要がある • bucketがパブリックアクセスにならないようにする  (使うときにはIPアドレス制限など) • Menlo >= 1.0913

Q. cpanﬁle.snapshot と組み合わせたときに困りませんか

# carton snapshot format: version 1.0 DISTRIBUTIONS Importer-0.025 pathname: E/EX/EXODIST/Importer-0.025.tar.gz
provides: Importer 0.025 requirements: ExtUtils::MakeMaker 0 perl 5.008001 ... mirrorの指定はできない

A. cpmを使う cpanﬁleと cpanﬁle.snapshotを読むハイブリッドで解決

% cpm install -v Loading distributions from cpanfile.snapshot... 73951 DONE
resolve (0.003sec) Private::Module -> Private-Module-0.01 (from CPANfile) 73950 DONE resolve (0.005sec) Test::More -> Test-Simple-1.302140 (from Snapshot) 73950 DONE fetch (0.032sec) Test-Simple-1.302140 (using prebuilt) 73951 DONE fetch (0.323sec) Private-Module-0.01 73951 DONE configure (0.030sec) Private-Module-0.01 73951 DONE install (0.289sec) Private-Module-0.01 73950 DONE install (0.766sec) Test-Simple-1.302140 (using prebuilt) 2 distributions installed. ここはcpanﬁleから解決 cpanﬁle.snapshot

これだけでプライベートCPAN が作れる

まとめ CPANモジュールを探す・知る・作る・管理する S3におくだけプライベートCPANを作る

CPAN Module Hacks

CPAN Module Hacks

More Decks by akiym

Other Decks in Technology

Featured

Transcript