Upgrade to Pro — share decks privately, control downloads, hide ads and more …

npmパッケージのバージョン管理

ayosh
May 26, 2022
0
700

 npmパッケージのバージョン管理

ayosh

May 26, 2022
Tweet

More Decks by ayosh

See All by ayosh
『フロントエンド開発入門 プロフェッショナルな開発ツールと設計・実装 』
yoshii27
0
20k

Featured

See All Featured
The Illustrated Children's Guide to Kubernetes
chrisshort
28
46k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
20
1.6k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
355
22k
Rebuilding a faster, lazier Slack
samanthasiow
72
8.2k
A Philosophy of Restraint
colly
195
16k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
60
14k
Building Flexible Design Systems
yeseniaperezcruz
318
37k
Practical Orchestrator
shlominoach
181
9.7k
Happy Clients
brianwarren
91
6.4k
VelocityConf: Rendering Performance Case Studies
addyosmani
319
23k
Building Adaptive Systems
keathley
29
1.8k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
1
1.3k

Transcript

  1. npmパッケージの バージョン管理


  2. npmパッケージのバージョン管理


  3. してますか?


  4. 開発中のプロジェクトが
 依存しているパッケージ


  5. 把握してますか?


  6. 今回の勉強会の目的
 • 前提としてnpmの概要をおさらい、理解する
 • package.jsonを使ったnpmパッケージのバージョン管理の方法を知る
 • npmパッケージのバージョン管理の重要性を理解する
 
 
 


  7. npmとは
 Node Package Manager
 node.jsのモジュールを管理するツール


  8. npmとは
 npmは、世界最大のソフトウェアレジス トリです。あらゆる大陸のオープンソー ス開発者がnpmを使ってパッケージの 共有や借用を行っており、多くの組織 がnpmを使って個人の開発を管理して います。
 https://docs.npmjs.com/about-npm

  9. npmは、3つの独立した要素で構成さ れています。
 • webサイト
 • Command Line Interface 
 •

    レジストリ
 npmとは
 https://docs.npmjs.com/about-npm

  10. npmは、3つの独立した要素で構成さ れています。
 • webサイト
 • Command Line Interface 
 •

    レジストリ
 npmとは
 https://docs.npmjs.com/about-npm

  11. npmは、3つの独立した要素で構成さ れています。
 • webサイト
 • Command Line Interface 
 •

    レジストリ
 npmとは
 https://docs.npmjs.com/about-npm

  12. https://www.npmjs.com/


  13. npmは、3つの独立した要素で構成さ れています。
 • webサイト
 • Command Line Interface 
 •

    レジストリ
 npmとは
 https://docs.npmjs.com/about-npm

  14. npmは、3つの独立した要素で構成さ れています。
 • webサイト
 • Command Line Interface 
 •

    レジストリ
 npmとは
 https://docs.npmjs.com/about-npm

  15. npmとは
 $ npm install axios 


  16. package.json
 ・対話形式でよく使われる項目を設定し(未入力ならデフォルト値を設定してくれる)、 package.jsonを生成する
 
 $ npm init

  17. package.json
 package.jsonが配置されているプロジェクトのルートディレクトリで
 上記コマンドを実行することで、package.jsonの情報に応じたパッケージがローカルに一 括インストールされる。
 $ npm install

  18. package.json
 ・https://docs.npmjs.com/cli/v8/configuring-npm/package-json
 ・name
 ・version
 ・description
 ・keywords
   ・
   ・
   ・


  19. package.json
 ・https://docs.npmjs.com/cli/v8/configuring-npm/package-json
 ・dependencies
 ・devDependencies
 ・peerDependencies
 ・bundleDependencies
 ・optionalDependencies
 
 ・https://docs.npmjs.com/cli/v8/configuring-npm/package-json
 ・dependencies


    ・devDependencies
 ・peerDependencies
 ・bundleDependencies
 ・optionalDependencies
 


  20. dependencies | package.json
 ・https://docs.npmjs.com/cli/v8/configuring-npm/package-json#dependencies 
 ・プロジェクトが直接依存するパッケージを記載
 ・パッケージ名とバージョンの範囲を記載する
 ・$ npm install

    <package name> でdependenciesに追記される
 
 "dependencies": { "axios": "^0.24.0" }


  21. devDependencies | package.json
 ・https://docs.npmjs.com/cli/v8/configuring-npm/package-json#devdependencies 
 ・テストツールやタスクランナー等、開発に必要なパッケージを記載する
 ・$ npm install <package

    name> --save-dev でdevDependenciesに追記される
 
 "devDependencies": { "jest": "^27.4.5" }

  22. バージョンの指定 | package.json
 $ npm install axios
 { "dependencies": {

    "axios": "^0.24.0" } } 


  23. バージョンの指定 | package.json
 0.24.0
 セマンティックバージョニング
 プロジェクトやライブラリをリリースする際のバージョン指定に関するルールを決 めたもの
 https://semver.org/lang/ja/
 https://docs.npmjs.com/about-semantic-versioning


  24. メジャーバージョン:
 大規模な変更が起き、過去のバージョンとの互換性が失われるとき 
 バージョンの指定 | package.json
 0.24.0
 マイナーバージョン:
 過去のバージョンとの互換性は失われないが新規機能の開発や機能改善が行われたとき 


    パッチバージョン:
 主にバグ修正が行われたとき


  25. バージョンの指定 | package.json
 ^0.24.0
 バージョンの範囲を指定する
 https://github.com/npm/node-semver#ranges
 ^
 ~


  26. バージョンの指定 | package.json
 ^0.24.0
 ^(キャレット)
 ・一番左の0以外の数字を変更しないような変更を許容する
 
 ^1.2.3 ≒ >=1.2.3

    <2.0.0-0
 ^0.2.3 ≒ >=0.2.3 <0.3.0-0
 ^0.0.3 ≒ >=0.0.3 <0.0.4-0
 


  27. バージョンの指定 | package.json
 ~0.24.0
 ~(チルダ)
 ・マイナーバージョンが指定されていればパッチバージョンの変更を許容する
 ・指定されていなければマイナーバージョンの変更を許容する
 ~1.2.3 ≒ >=1.2.3

    <1.(2+1).0 ≒ >=1.2.3 <1.3.0-0
 ~1.2 ≒ >=1.2.0 <1.(2+1).0 ≒ >=1.2.0 <1.3.0-0 (Same as 1.2.x)
 ~1 ≒ >=1.0.0 <(1+1).0.0 ≒ >=1.0.0 <2.0.0-0 (Same as 1.x)
 


  28. package-lock.json
 ・package.jsonだけでは、インストールされるパッケージのバージョンが毎回同じになる事 は保証されない。
 ・$npm install 実行時にpackage-lock.jsonが生成される
 ・実際にインストールした全ての依存パッケージが記録される
 "node_modules/axios" : {

    "version": "0.21.2", "resolved": "https://registry.npmjs.org/axios/-/axios-0.21.2.tgz" , "integrity": "sha512-87otirqUw3e8CzHTMO+/9kh/FSgXt/eVDvipijwDtEuwbkySWZ9SBm6VEubmJ/kLKEoLQV/POhxXFb66bfekfg==" , "dependencies" : { "follow-redirects" : "^1.14.0" } }, axiosが依存するパッケージのバージョンも記載されている

  29. なぜバージョン管理をする必要があるのか


  30. 「バージョン固定ではダメなんですか?」


  31. バージョン管理をしない場合のデメリット
 ・新しいバージョンで入る機能が使えない(開発効率の低下)
 ↑これらの理由で特定のパッケージのバージョンを上げたくなる(もしくは上げる必要に 迫られる)事になった時、最新バージョンと離れれば離れるほど、追従は難しくなっていく
 ・セキュリティの修正が提供されずに、脆弱性を放置したままになりかねない
 


  32. どうやって管理する?


  33. バージョンを上げる方法
  ・$ npm outdatedコマンドと$ npm updateコマンド
  ・バージョンロックファイルの削除と再生成
 
 頻度とタイミング
  ・できるだけ頻繁に定期的に、でも負担にならない頻度


     ・依存パッケージに脆弱性が発見されたとき
  ・自動化(dependabot, Renovate)
 バージョン管理戦略
 どの戦略をとっても、安全なリリースには充実したテストが必要

  34. バージョン管理戦略
 $ npm outdatedコマンドと$ npm updateコマンド
 ・$ npm outdated コマンドで更新が必要なパッケージを確認


    ・$ npm update コマンドでバージョンを更新する
 $ npm outdated Package Current Wanted Latest Location Depended by axios 0.21.2 0.23.0 0.24.0 node_modules/axios npm-sample axiosの0.21.2がインストールされていて、package.jsonには^0.23.0の指定、
 この時の最新バージョンが0.24.0
 $ npm upgrade コマンド実行で、CurrentがWantedに揃うようにパッケージが更新される


  35. バージョンを上げる方法
  ・$ npm outdatedコマンドと$ npm updateコマンド
  ・バージョンロックファイルの削除と再生成
 
 頻度とタイミング
  ・できるだけ頻繁に定期的に、でも負担にならない頻度


     ・依存パッケージに脆弱性が発見されたとき
  ・自動化(dependabot, Renovate)
 バージョン管理戦略
 どの戦略をとっても、安全なリリースには充実したテストが必要

  36. まとめ
 ・担当プロジェクトのpackage.json、ざっと全体を見てみましょう
 ・バージョン管理をしないデメリットはいざという時大きい
 ・チームで最適な戦略を考えて、定期的なバージョン管理を
 ・テストは書こう


  37. ありがとうございました