依存ライブラリはどこに？

Transcript

1. 依存ライブラリはどこに？ 2024年3⽉21⽇ Shigeki Shoji

2. 庄司重樹 受賞歴 AWS 2023 Japan Top Engineers 資格 AWS認定12冠 (All

   Certifications) Professional Scrum Product Owner I Professional Scrum Master I Professional Scrum Developer I コミュニティ AWS Community Builders program、関ジャバ、JJUG、Scala関⻄、もめんと会他 2

3. とあるJavaアプリケーションの構成 3

4. 依存ライブラリをどこから取得しよう？ 4

5. ライブラリ公開元から直接 • グループ名はDNSドメイン名を逆向きにしたものと推測してみ る… 5

6. Maven等が登場する前 • ソースコードを公開先からダウンロードして取り込む • ftp等で公開先からダウンロードしてクラスパスに追加して取り 込む • 依存ライブラリが別のライブラリに依存していると、対応バー ジョンの不⼀致等で管理がとにかく⼤変 •

   開発者が複数いると、ある⼈の環境では動作するが、別の⼈の 環境では動作しないということが増⼤ 6

7. いいアイデアない？ 7

8. Hubのようなものがあれば • 個別に公開先からではなく、⼀元管理されたところがあれば 8

9. CI/CDを⽀えるインフラに成⻑ MavenやGradle等を使って⾃動的に依存ライブラリをダウン ロードして、アプリケーションコードをコンパイル、それをパッ ケージングしたアーティファクトをリポジトリにアップロード 9

10. Maven Centralってどこにあるの？ • https://repo1.maven.org/maven2 10

11. ライブラリの検索 • https://central.sonatype.com/ 11

12. セマンティックバージョニング • 詳細はここで • 簡単にいうと、後⽅互換性の有無、バグ修正のみの場合などに、どの 部分のバージョンを変更するかの仕様 • Node.js で使⽤される npm

    ではこのセマンティックバージョニングに 則った形式のみ受け⼊れられている（でも肝⼼の後⽅互換性がないの にマイナーバージョンのみやパッチバージョンの変更がされているラ イブラリがある） 12

13. いいね！社内で開発したライブラリも管 理していい？ 13

14. Maven Centralはパブリックリポジトリ • Maven Centralからライブラリのダウンロードに認証不要 • アップロードする場合は、認証と公開鍵⽅式の署名が必要 • 組織内で作成したライブラリを世界中で使ってもらいたい場合 はMaven

    Centralに登録できる 14

15. プライベートなライブラリの管理 15

16. Inhouse Repository • オンプレミス • Sonatype Nexus • JFrog Artifactory

    • クラウド • AWS CodeArtifact • GitHub Packages • GitLab Packages and Registries 16

17. アーティファクト管理ツールの特徴 • 最近のアーティファクト管理ツールは脆弱性のチェック機能が ある • Java以外のプロトコル (Go、.NET、Rust、Python、Node.js、 Docker、Linux(rpm)、Linux(apt) その他) にも対応している

    17

18. おわりに • 社内の再利⽤可能なアーティファクトを Inhouse Repository を活⽤していきましょう • アーティファクト管理ツールは単なるファイルシステムとは違 うということを理解しましょう 18

19. 19 ありがとうございました