🏛️ 🈚️ 🐱 Dépendances JavaScript de Road to Hell 🎨 👨🏼‍🚀 ⛔️

Chaque projet JavaScript commence par de bonnes intentions, à savoir que ses créateurs se promettent de ne pas utiliser trop de packages NPM lors de son développement. Mais même si les développeurs font des efforts considérables pour tenir cette promesse, les packages NPM pénètrent progressivement leurs projets. La taille du fichier package.jsonaugmente avec le temps. Et avec l' package-lock.jsoninstallation des dépendances, une véritable horreur se produit, exprimée en ajouts et suppressions de packages, surtout perceptible avec le prochain PR ... "Tout va bien", explique le chef d'équipe. Le reste de l'équipe acquiesce d'un signe de tête. Que faire d'autre? Nous apprécions tous le fait que l'écosystème JavaScript est bel et bien vivant. Nous n'avons pas besoin de réinventer la roue à chaque fois et d'essayer de résoudre les problèmes qui ont déjà été résolus par la communauté open source.

Supposons que vous allez créer un blog et que vous souhaitiez utiliser Gatsby.js. Essayez d'ajouter ce générateur de site en fonction de votre projet. Maintenant, félicitations. Votre projet venait d'avoir 19 000 dépendances supplémentaires. C'est normal? Dans quelle mesure un arbre de dépendance JavaScript peut-il devenir complexe? Comment un arbre de dépendance se transforme-t-il en enfer? Voyons cela.

Qu'est-ce qu'un package JavaScript?

NPM (Node Package Manager, Node Package Manager) stocke le plus grand registre de packages au monde. Ce sont des packages JavaScript. NPM est plus que RubyGems, PyPi et Maven réunis. Cette conclusion peut être tirée sur la base de l'analyse des données du projet Module Counts , qui surveille le nombre de packages dans les registres populaires.

Données sur le nombre de packages dans les registres populaires

Vous pourriez penser que de très grandes quantités de code sont représentées sur ce graphique. C'est comme ça. Pour transformer un projet en package NPM, ce package doit avoir un fichierpackage.json. Un tel package peut être envoyé au registre NPM.

Qu'est-ce que package.json?

Voici les tâches qu'il résout package.json:

Il répertorie les packages dont dépend votre projet (il s'agit d'une liste de dépendances de projet).
Dans ce document, en utilisant les règles de gestion de versions sémantique, les versions des packages de dépendances que votre projet peut utiliser sont définies.
Il vous permet de reproduire l'environnement nécessaire au fonctionnement du package et, par conséquent, simplifie le transfert du projet à d'autres développeurs.

Un fichier package.jsonpeut être considéré comme un fichier READMEpompé de stéroïdes. Ici, vous pouvez décrire les dépendances de votre package, ici vous pouvez écrire des scripts qui sont exécutés pendant l'assemblage et le test du projet. Le même fichier contient des informations sur la version du projet spécifiée par son développeur et une description du projet. Nous sommes particulièrement intéressés par la possibilité package.jsonde spécifier les dépendances du projet.

Peut-être que le fait que les dépendances du projet soient indiquées dans ce fichier semble quelque peu alarmant. Imaginez qu'il existe un package qui dépend d'un autre package, et cet autre package dépend d'un autre package. Une telle chaîne de dépendances peut être arbitrairement longue. Pour cette raison, l'installation du seul package, Gatsby.js, signifie équiper le projet de 19 000 dépendances supplémentaires.

Types de dépendances dans package.json

Afin de mieux comprendre comment les listes de dépendances de projet augmentent au fil du temps, parlons des différents types de dépendances qu'un projet peut avoir. A savoir, les package.jsonsections suivantes peuvent être trouvées qui décrivent diverses dépendances:

dependencies - ce sont des dépendances ordinaires, dont la fonctionnalité est utilisée dans le projet, et qui sont accessibles à partir de son code.
devDependencies- ce sont des dépendances de développement. Par exemple, la plus jolie bibliothèque utilisée pour formater le code.
peerDependencies - si des dépendances sont écrites dans cette section, le développeur du package informe ainsi celui qui va l'installer qu'il aura besoin d'une version spécifique du package spécifiée dans cette section.
optionalDependencies - ils listent les dépendances optionnelles, telles que l'impossibilité d'installation qui ne violera pas le processus d'installation du package.
bundledDependencies — , . , NPM, , .

package-lock.json

Nous savons tous que le dossier package-lock.json, au cours des travaux sur le projet, subit constamment des modifications. Quelque chose en est supprimé, quelque chose y est ajouté. Cela est particulièrement visible lorsque vous visualisez PR contenant une version mise à jour de ce fichier. Nous le tenons souvent pour acquis. Un fichier est package-lock.jsongénéré automatiquement chaque fois qu'un fichier package.jsonou un dossier change node_modules. Cela vous permet de conserver le contenu de l'arborescence de dépendances exactement tel qu'il était lorsque vous avez installé les dépendances du projet. Cela permet, lors de l'installation du projet, de reproduire l'arborescence des dépendances. Cela résout le problème d'avoir différentes versions du même package de différents développeurs.

Prenons un projet dont les dépendances incluent React. L'entrée correspondante est disponible sur package.json. Si vous regardez le fichierpackage-lock.json de ce projet, vous pouvez voir quelque chose comme ceci:

    "react": {
      "version": "16.13.0",
      "resolved": "https://registry.npmjs.org/react/-/react-16.13.0.tgz",
      "integrity": "sha512-TSavZz2iSLkq5/oiE7gnFzmURKZMltmi193rm5HEoUDAXpzT9Kzw6oNZnGoai/4+fUnm7FqS5dwgUL34TujcWQ==",
      "requires": {
        "loose-envify": "^1.1.0",
        "object-assign": "^4.1.1",
        "prop-types": "^15.6.2"
      }
    }

Un fichier package-lock.jsonest une grande liste de dépendances de projet. Voici les versions de dépendance, les chemins (URI) vers les modules, les hachages utilisés pour vérifier l'intégrité du module et les packages nécessaires à ce module. Si vous lisez ce fichier, vous pouvez trouver des enregistrements de tous les packages dont React a besoin. C'est là que réside l'enfer des dépendances. Tout ce dont le projet a besoin est décrit ici.

Comprendre les dépendances de Gatsby.js

Comment se fait-il qu'ayant établi une seule dépendance, nous ajoutions jusqu'à 19 000 dépendances au projet? Tout dépend des dépendances de dépendance. C'est pourquoi nous avons ce que nous avons:

$ npm install --save gatsby

...

+ gatsby@2.19.28
added 1 package from 1 contributor, removed 9 packages, updated 10 packages and audited 19001 packages in 40.382s

Si vous regardez package.jsondedans, vous ne pouvez trouver qu'une seule dépendance. Mais si vous le regardez package-lock.json, il s'avère que devant nous se trouve un monstre de presque 14 kilo-octets. Une réponse plus détaillée sur ce que toutes les lignes de code qui tombent dans ce moyen package-lock.jsonpeut être trouvé dans le fichier package.jsondans le référentiel Gatsby.js . Il y a beaucoup de dépendances directes, à savoir, selon les calculs de npm , 132. Si chacune de ces dépendances a au moins une autre dépendance, alors le nombre total de dépendances du projet doublera - et il aura 264 dépendances. Bien sûr, dans le monde réel, ce n'est pas le cas. Chaque dépendance de projet directe a plus d'une dépendance inhérente. Par conséquent, la liste des dépendances du projet est très longue.

Par exemple, nous allons nous intéresser au nombre de fois où la bibliothèque lodash est utilisée comme dépendance pour d'autres packages :

$ npm ls lodash
example-js-package@1.0.0
└─┬ gatsby@2.19.28
  ├─┬ @babel/core@7.8.6
  │ ├─┬ @babel/generator@7.8.6
  │ │ └── lodash@4.17.15  deduped
  │ ├─┬ @babel/types@7.8.6
  │ │ └── lodash@4.17.15  deduped
  │ └── lodash@4.17.15  deduped
  ├─┬ @babel/traverse@7.8.6
  │ └── lodash@4.17.15  deduped
  ├─┬ @typescript-eslint/parser@2.22.0
  │ └─┬ @typescript-eslint/typescript-estree@2.22.0
  │   └── lodash@4.17.15  deduped
  ├─┬ babel-preset-gatsby@0.2.29
  │ └─┬ @babel/preset-env@7.8.6
  │   ├─┬ @babel/plugin-transform-block-scoping@7.8.3
  │   │ └── lodash@4.17.15  deduped
  │   ├─┬ @babel/plugin-transform-classes@7.8.6
  │   │ └─┬ @babel/helper-define-map@7.8.3
  │   │   └── lodash@4.17.15  deduped
  │   ├─┬ @babel/plugin-transform-modules-amd@7.8.3
  │   │ └─┬ @babel/helper-module-transforms@7.8.6
  │   │   └── lodash@4.17.15  deduped
  │   └─┬ @babel/plugin-transform-sticky-regex@7.8.3
  │     └─┬ @babel/helper-regex@7.8.3
  │       └── lodash@4.17.15  deduped
  ...

Heureusement, la plupart de ces dépendances sont représentées par la même version de lodash. Et avec cette approche, il n'y node_modulesaura qu'un seul dossier de bibliothèque lodash. Certes, ce n'est généralement pas tout à fait le cas. Parfois, différents packages nécessitent différentes versions du même package. C'est pourquoi de nombreuses blagues sont apparues sur la taille énorme du dossier node_modules. Dans notre cas, cependant, tout n'est pas si mal:

$ du -sh node_modules
200M    node_modules

200 mégaoctets n'est pas si mal. J'ai vu comment la taille de ce dossier atteint facilement 700 Mo. Si vous souhaitez savoir quels modules occupent le plus d'espace, vous pouvez exécuter la commande suivante:

$ du -sh ./node_modules/* | sort -nr | grep '\dM.*'
 17M    ./node_modules/rxjs
8.4M    ./node_modules/@types
7.4M    ./node_modules/core-js
6.8M    ./node_modules/@babel
5.4M    ./node_modules/gatsby
5.2M    ./node_modules/eslint
4.8M    ./node_modules/lodash
3.6M    ./node_modules/graphql-compose
3.6M    ./node_modules/@typescript-eslint
3.5M    ./node_modules/webpack
3.4M    ./node_modules/moment
3.3M    ./node_modules/webpack-dev-server
3.2M    ./node_modules/caniuse-lite
3.1M    ./node_modules/graphql
...

Oui, rxjs est un paquet insidieux.

Voici une commande simple qui permet de réduire la taille du dossier node_moduleset de simplifier sa structure:

$ npm dedup
moved 1 package and audited 18701 packages in 4.622s

51 packages are looking for funding
  run `npm fund` for details

found 0 vulnerabilities

Pendant la déduplication, npm essaie de simplifier la structure de l'arborescence de dépendances en recherchant les dépendances utilisées par d'autres dépendances et en les déplaçant afin qu'elles puissent être partagées. Cela s'applique à notre exemple lodash. De nombreux packages sont utilisés lodash @4.17.15, par conséquent, pour garantir leur opérabilité, il suffit d'installer cette version de la bibliothèque une seule fois. Bien sûr, c'est la situation dans laquelle nous nous trouvons depuis le tout début, uniquement en établissant des dépendances. Si dans le processus de travail sur un projet package.jsonajouter de nouvelles dépendances, il est parfois recommandé de se souvenir de l'équipe npm dedup. Si vous utilisez le gestionnaire de paquets de fils, une commande similaire ressemble à la déduplication de fils. Mais, en fait, cela n'est pas nécessaire, car l'optimisation des dépendances est effectuée automatiquement lorsque la commande est exécutée yarn install.

Visualisation des dépendances

Intéressé par une représentation graphique des dépendances de votre projet? Si c'est le cas, vous pouvez créer une telle présentation à l'aide d'outils spéciaux. Examinons certains d'entre eux.

Ce qui suit est un résultat de visualisation de dépendance obtenu en utilisant npm.anvaka.com/ .

Visualisation des dépendances à l'aide de npm.anvaka.com

Vous pouvez voir ici les dépendances des dépendances du package de projet Gatsby.js. Le résultat est similaire à un énorme site Web. Le projet Gatsby.js a tellement de dépendances que ce «web» a presque «bloqué» mon navigateur. Maintenant , si vous êtes intéressé, un lien vers ce diagramme. Il peut être présenté sous forme 3D.

Voici une visualisation réalisée à l'aide de npm.broofa.com .

Un fragment d'une visualisation de dépendance faite en utilisant npm.broofa.com

Ceci est similaire à un organigramme. Elle, pour Gatsby.js, s'avère très compliquée. Vous pouvez y jeter un œil ici . Élémentscircuit peuvent être colorés selon les estimations de npms.io . Vous pouvez télécharger votre propre fichier sur le sitepackage.json.

L'outil Package Phobia vous permet de déterminer l'espace dont il a besoin avant d'installer un package.

Informations sur le package reçues à l'aide de Phobie du package

Vous pouvez découvrir ici la taille du package publié et la quantité d'espace disque nécessaire après l'installation.

Conclusion: une grande puissance s'accompagne d'une grande responsabilité

En fin de compte, je tiens à dire que JavaScript et NPM sont d'excellents outils. La bonne chose est que les développeurs modernes ont la possibilité d'utiliser un énorme ensemble de dépendances. L'exécution de la commande npm installpour vous éviter d'écrire quelques lignes de code est si facile que nous oublions parfois les conséquences.

Maintenant que vous avez lu jusqu'à présent, vous devriez avoir une compréhension plus complète des fonctionnalités de l'arborescence des dépendances de npm-project. Si vous ajoutez une bibliothèque au projet qui est très grande, ou si vous explorez simplement les dépendances de votre projet, vous pouvez toujours profiter de ce que nous avons discuté ici et analyser les dépendances.

Chers lecteurs! Voulez-vous utiliser le moins de dépendances possible dans vos projets npm?

Dépendances JavaScript de Road to Hell