皆さんnpmパッケージのバージョンを上げるときにハマって依存地獄から抜けられなかったことはありませんか? 私はあります。 複雑怪奇な依存関係を調べてみようとnode_modulesを覗いてみて、そのカオスっぷりに臭いものに蓋をしたことはありませんか? 私はあります。 そこでnode_modules以下について調べてみたのですが、node_modulesにどんな問題点があって、npmやyarn, pnpmは何を目指していたのか時系列順に紐解いた方がわかりやすいことに気づきました。 ここでは初期のnpmが抱えていた問題から今に至るまでを順を追って説明します。 するとnode_modulesの仕組みの他に、各パッケージマネージャの方針の違いが見えてくるはずです。 初期の頃のnpm (~2015年以前) この頃はシンプルで、依存関係はそのままnode_modulesのディレクトリ構造に反映されてい
JavaScriptパッケージシステム「npm」は巨大なバグを抱えていると指摘し、新たなパッケージシステムを開発する「vlt」。npm作者らの参加を発表
JavaScriptパッケージシステム「npm」は巨大なバグを抱えていると指摘し、新たなパッケージシステムを開発する「vlt」。npm作者らの参加を発表 npmに代わる新しいJavaScriptのパッケージシステム「vlt」(vōlt:ボールト)を開発しているvlt technologyは、同社にnpmの作者であるIsaac Z. Schlueter氏、npmのスタッフエンジニアリングマネージャであったDarcy Clarke氏、npmのCLIチームであったRuy Adornoらが参加すると発表しました。 Node.jsとnpmが作ったJavaScriptのエコシステム サーバサイドでJavaScriptを実行可能にしたNode.jsの登場と、そのNode.jsを基盤にJavaScriptのアプリケーションやモジュールなどをパッケージングして登録し、自由にダウンロード可能にしたレジストリで
サーバー不要&外部とのデータのやりとり無しで画像から背景を削除できるオープンソースな軽量npmライブラリ「background-removal-js」を使ってみた
「background-removal-js」はブラウザ内だけで動作が完結する背景削除ライブラリです。サーバーとデータをやりとりしないため、サーバーコストが不要だったりデータが流出してしまう心配がなかったりと利点がたくさんありますが、実際のところ「ちゃんと切り抜いてくれるのか」が気になるところ。今回はデモを使ってさまざまな画像の背景を削除してみます。 imgly/background-removal-js https://github.com/imgly/background-removal-js background-removal-jsはパッケージマネージャーのnpm上で提供されており、簡単にウェブアプリに組み込めるようになっていますが、今回はすぐに利用できるデモ版を使ってみます。 デモ版の画面はこんな感じ。自分の画像をアップロードできるほか、手早く確認したい人のためにいくつかのサンプ
npm ciのキャッシュ方式の検討
結論から言うと、node_modulesをキャッシュしてnpm ciの実行を省略するのが、多くの場合には有効そうです。 はじめに CIで npm ci を使うとき、実行時間短縮のためにキャッシュの利用を検討することになると思います。このとき、どのようにキャッシュするのが良いのでしょうか? よく知られているキャッシュ方式として、以下の二通りの方式があります。 ~/.npmをキャッシュする方式 node_modulesをキャッシュする方式 それぞれの違いについて、詳しく見てみましょう。 ~/.npmをキャッシュする方式 npm ci を実行すると、POSIX系のOSではデフォルトで ~/.npm にキャッシュデータが書き込まれます。package-lock.json をキーにこのディレクトリをキャッシュしておくことで、次回以降の npm ci 実行時にこのキャッシュデータを利用しよう、というの
皆さんこんにちは。この記事では、筆者が最近業務中に経験した恐るべき罠についてシェアしたいと思います。 CIでユニットテストを実行することは、とても多くのプロジェクトで行われています。ユニットテストは特に、既存のコードの変更を自信を持って行うために必要なものです。弊社でも、CI (GitHub Actions) でユニットテストを実行しています。 あるとき、CIの挙動が不安定になったことをきっかけに、CI上でのユニットテストの実行について調べてみました。その結果、とんでもないことが判明したのです。 不安定になったCI 時折、CIにすごく時間がかかり、30分経ったあたりでタイムアウトしてしまうことがありました。そのときのログを見てみると、jestによるユニットテストが実行されている最中に、何のログも出力せずに突然止まっているようでした。そのようなときはリトライするとそこそこの確率で成功します。
社内で使う npm パッケージの作成に Deno を採用した話 - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちわ。フロントエンドエキスパートチームの@nus3_です。 最近、社内用の npm パッケージを作る必要があり、そのパッケージは依存が少なく、実装もシンプルだったので、npm パッケージの作成には Deno と dnt を採用しました。 dnt とは dnt は Deno で実装したモジュールを CJS、ESM に対応した npm パッケージに変換してくれるビルドツールです。 使い方も簡単で、次のように dnt が提供するbuild関数にエントリーポイントや出力先などの必要な情報を渡すだけです。 import { build } from "https://deno.land/x/dnt@0.38.1/mod.ts"; await build({ entryPoints: ["./mod/index.ts"], // Denoで実装したモジュールのエントリーポイント outDir:
SSH keys stolen by stream of malicious PyPI and npm packages
A stream of malicious npm and PyPi packages have been found stealing a wide range of sensitive data from software developers on the platforms. The campaign started on September 12, 2023, and was first discovered by Sonatype, whose analysts unearthed 14 malicious packages on npm. Phylum reports that after a brief operational hiatus on September 16 and 17, the attack has resumed and expanded to the
npm workspacesで、TSファイルを共通モジュールとして使い回す | Memory ice cubes
ということをやりたくて、こうやったらできたという覚書。 やりたいこと こういうモノレポ構成とする。 - package.json - package-lock.json - packages - shared - app1 - app2 で、app1にあるコードベースを@myapp/app1とした場合、@myapp/sharedに置いたTSファイルを、そのままモジュールとして利用したいとする。 import { foo } from "@myapp/shared"; import { bar } from "@myapp/shared/bar"; // This is @myapp/app1 or @myapp/app2 code @myapp/app1と@myapp/app2は、それぞれ独自のコードベースになってて、それぞれtscではなくviteやesbuildなどのバンドラーを使う前提
npm/yarn/pnpm/bunを同じコマンドで扱えるni.zshに、npmで配布されているマルウェアを間違ってインストールするのを防ぐ機能を追加しました。 ni.zshについては、次の記事を参照してください。 npm/yarn/pnpm/bunを同じコマンドで扱える ni のzsh実装を書いた | Web Scratch npmパッケージのマルウェア npmパッケージとしてマルウェアをpublishして開発者を狙うサプライチェーン攻撃が最近多くなっています。 たとえば、次の記事ではemails-helperというもっともらしいパッケージ名でマルウェアが配布されていました。 NPM Package Masquerading as Email Validator Contains C2 and Sophisticated Data Exfiltration 他にもtyposquatting
毎月や半年に一回といったように、リリースする時期(間隔)を決めて更新するタイプのパッケージがあります。 具体的には、次のtextlintのプリセットルールは1月と7月という形で半年に一回リリースしています。 textlint-ja/textlint-rule-preset-japanese: textlint rule preset for Japanese. textlint-ja/textlint-rule-preset-ja-technical-writing: 技術文書向けのtextlintルールプリセット なぜ、このようにリリースする時期を決めているかというと、これらのパッケージは他のパッケージに依存していて、他のパッケージの更新がそのままメジャーアップデートになりやすい性質があるためです。 そのため、依存を更新してリリースすると、頻繁にメジャーアップデートしないといけなくなりま
3 行まとめ CJS、ESM に対応した npm パッケージが Deno + dntで簡単に作成できる Deno で開発できるので、Lint、Format、Test、TypeCheck が設定なしですぐに使える dntで作成した CJS、ESM のファイルに対して、それぞれ Node.js でもテストを実行してくれる Deno のモジュールを npm パッケージに変換するdnt Deno のdntモジュールを使うと、Deno で実装したモジュールを CommonJS(CJS) と ESM、TypeScript に対応した npm パッケージとして公開できます。 実際、今回 Deno とdntを試してみましたが、Deno には Linter、Formatter、Test などが組み込まれているので、すぐに npm パッケージの作成に取り掛かれるのが良かったです。また、CICD の自動化(Gi
Azureのプロダクト名のtypoを検知するtextlintのルールをnpmで公開してみた - Alternative Architecture DOJO
こんにちは、クラウドソリューション部の花岡です。 この記事はオルターブースアドベントカレンダー2023の23日目の記事です。 adventar.org だんだんとクリスマス 🎄 が近づいてきました! 街はにぎやかお祭り騒ぎでチキンライスが食べたくなる時期です はじめに 今回は文章校正ツールである(textlint)https://textlint.github.io/を使ってAzureのプロダクト名のtypoを検知するルールを作成し公開しました。 AWSのサービス名のtypoを検知できるルールを作ったクラスメソッドさんのブログを見て、Azure版もあれば便利だなと思いOSSで作ってみました。 実装も大いに参考にしています。 dev.classmethod.jp NPMパッケージで公開してます。 www.npmjs.com ソースはこちら、MITライセンスで公開してます。 github.c
Over the past 6 months, AI companies like Scale, Jasper, Perplexity, Runway, Lexica, and Jenni have launched with Next.js and Vercel. Vercel helps accelerate your product development by enabling you to focus on creating value with your AI applications, rather than spending time building and maintaining infrastructure. Today, we're launching new tools to improve the AI experience on Vercel. Vercel
Fresh 1.2 – welcoming a full-time maintainer, sharing state between islands, limited npm support, and more It’s been almost a year since we introduced Fresh 1.0, a modern, Deno-first, edge-native full stack web framework. It embraces modern developments in tooling and progressive enhancement, using server-side just-in-time rendering and client hydration using islands. Fresh sends 0KB of JavaScript
tsdocs.dev helps you browse reference typescript documentation for any package or version of a library. Made with the help of typedoc
Disclosure: I was the Staff Engineering Manager for the npm CLI team between July 2019 & December 2022. I was a part of the GitHub acquistion of npm inc. in 2020. I left GitHub, for various reasons, in December. tldr;a npm package's manifest is published independently from its tarballmanifests are never fully validated against the tarball's contentsthe ecosystem has broadly assumed the contents of
Deno DeployがNPMモジュールをネイティブサポート開始。NPMモジュールがホスティング環境で実行可能に
Deno DeployがNPMモジュールをネイティブサポート開始。NPMモジュールがホスティング環境で実行可能に オープンソースのJavaScript/TyeScriptランタイム「Deno」の開発元であるDeno Landは、同社が提供しているDenoの分散ホスティングサービス「Deno Deploy」がNPMモジュールのネイティブサポートを開始したと発表しました。 これによりNPMモジュールを用いたNode.jsのアプリケーションを、Deno Deployのホスティングサービス上で簡単に運用できるようになります。 It's finally here. NPM support on Deno Deploy. Import over 2 million NPM modules from the edge. https://t.co/9pBqKPvMMc — Deno (@deno_land
NPM registry prank leaves developers unable to unpublish packages
NPM registry prank leaves developers unable to unpublish packagesLaura FrenchJanuary 3, 2024 A prank on npm included a meme image of Gary Oldman from the film “Léon." (Photo by Patrick Camboulive / Sygma via Getty Images) Update Jan. 4, 2024: GitHub told SC Media Wednesday night that disruptions related to the "everything" package, and its registry-wide dependencies, were being resolved. "We found
DenoがプライベートなnpmレジストリやgRPCに対応、Node.js互換度向上でNext.jsアプリの実行も可能に。Deno 1.44で
DenoがプライベートなnpmレジストリやgRPCに対応、Node.js互換度向上でNext.jsアプリの実行も可能に。Deno 1.44で JavaScript/TypeScriptランタイムの「Deno」は、最新版のDeno 1.44でnpmのプライベートレジストリやgRPCに対応したことを発表しました。 Deno 1.44 is released! Private npm registries gRPC now supported Module loading & memory performance improvements LSP and compatibility enhancements Request.bytes() and Response.bytes() New lint rules DENO_FUTURE=1 And more... https://t.co/lx7f
Node.js Community Debate Intensifies Over Enabling Corepack by Default and Potentially Unbundling npm - Socket
Node.js Community Debate Intensifies Over Enabling Corepack by Default and Potentially Unbundling npmThe Node community is wrestling with the decision to enable Corepack by default, which has sparked a debate about the potential of removing npm from the Node.js binary. A heated debate is happening in the Node.js community over a proposal to enable Corepack by default that was opened in November 20
September 26, 2023 npm provenance is now generally available. npm packages built on a supported cloud CI/CD system can publish with provenance. Today this includes GitHub Actions and GitLab CI/CD. Publishing with provenance verifiably links the package back to its source repository and build instructions. Provenance is restricted to public packages and public source repositories only. npm will che
July 11, 2023 Today we are making further improvements to granular access tokens in npm. Highlights of this update are Custom Expiration Times: You can now create granular access tokens with custom expiration times, allowing for durations that span multiple years. Increased Token Limit: We have expanded the maximum limit for granular access tokens creation to 1000. This enables maintainers with a
はじめに 皆さん馴染みの深いnpmとyarnについて、違いを意識して使い分けしていますか? 両者ともNode.jsで動作するパッケージマネージャという理解はありましたが、双方の違いについて あまり意識してませんでした。 ふと気になったので、今回はnpmとyarnの概要と違いについてまとめていこうと思います パッケージマネージャーとは パッケージマネージャとはその名の通り、パッケージを管理するソフトウェアやシステムのことを指します。 主にシステムのインストールやアンインストール、必要な外部のソフトウェアの自動取得(依存関係の解決)などを行ないます。 大まかに2種類に分けられOSレベルの機能やソフトウェアパッケージを管理するものとプログラミング言語向けもの`があります。 npmとは npmとはNode Package Managerの略称で2010年1月にリリースされたJavaScript公式
Deno Deploy makes it easy build and host any JavaScript app, function, or API server. Programming is faster and easier with Deno’s simple and robust APIs — web standard APIs, Node.js built-ins, and essential cloud services turned into first class JavaScript APIs, such as Deno KV (now in open beta). Your applications are run close to your users across 35 regions in the world, ensuring minimal laten
S3上のオブジェクトを結合するnpmパッケージを公開した話(ESM, CJS対応) | DevelopersIO
はじめに S3上の細かいオブジェクト(ファイル)を1つのオブジェクトに連結したい要件がありましたが、色々調べると気にかける事が多く、挙動を理解する目的込みでnpmパッケージを作ることにしました。Pythonのs3-concatにInspireされ、Node.js(TS)で同じことを実現したいと思ったのもモチベーションの1つです。 ESModulesとCommonJSに対応しています。 S3にはMultipart upload機能があります。5GBを超えるファイルはCopyObjectで移動が出来ないため、Multipart uploadを使うケースが多いです。boto3のcopyメソッドは、Multipart upload機能を使っているようです。このMultipart upload機能は、ファイルの結合にも利用可能です。 この背景をベースに以下の理由から、npmパッケージ化することにしま
dnt — the easiest way to publish a hybrid npm module for ESM and CommonJS Though browsers and JavaScript have come a long way, writing and publishing JavaScript modules is still painful. To maximize adoption, your module should support CommonJS and ESM, JavaScript with TypeScript declarations, and work in Deno, Node.js, and web browsers. To achieve that, many resort to complex release pipelines or
Fleet 1.19, AI-powered Features and Easier Configuration for rust-analyzer, Python Interpreters, and npm | The Fleet Blog
News Releases Fleet 1.19, AI-powered Features and Easier Configuration for rust-analyzer, Python Interpreters, and npm The Fleet 1.19 update is available for download in your Toolbox App. This update is special because, in addition to the usual improvements and changes, it has one major addition. We have added AI-powered assistance to Fleet! This initial implementation contains several new feature
homebrewでnodeとnpmをインストール
詳しいHomebrewのインストールの話はありませんが以下を実行してインストールできます。 詳しくは公式を確認してください。
When "Everything" Becomes Too Much: The npm Package Chaos of 2024 - Socket
When "Everything" Becomes Too Much: The npm Package Chaos of 2024An NPM user named PatrickJS launched a troll campaign with a package called "everything," which depends on all public npm packages. Happy 2024, folks! Just when we thought we'd seen it all, an npm user named PatrickJS, aka gdi2290, threw us a curveball. He (along with a group of contributors) kicked off the year with a bang, launchin
Downgrade to npm v9.6.4 or v9.6.5 to avoid potential licensing issues · Issue #49625 · nodejs/node
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
GitHub Packages の npm レジストリを使って、社内 org 用のプライベートパッケージを公開する手順とインストールする手順
複数のリポジトリで共有する node パッケージを、パブリックな npm レジストリではなく GitHub Packages の npm レジストリに公開して、 GitHub Organization 内でのみ利用可能なパッケージとして扱う手順を、社内共有用にまとめていきます。 本記事の内容は、以下の公式ドキュメントを読めばだいたい分かります。 背景 マネーフォワード クラウドシリーズのデザインシステムを構築しようとしており、複数のプロダクトで共通して利用できる汎用的な UI コンポーネントを揃えたライブラリを各プロダクト向けに公開したい。検証段階なので、一旦 org 内に限定した状態で利用したい。 GitHub Packages とは Introduction to GitHub Packages - GitHub Docs より GitHub Packages is a softwar
Malicious npm Packages Used to Target GitHub Developer SSH Keys
Malicious npm Packages Used to Target GitHub Developer SSH Keys Security researchers have uncovered two new malicious packages on the npm open source package manager that utilized GitHub to store stolen Base64-encrypted SSH keys taken from developer systems. These packages, identified earlier this month, have since been removed from npm. According to a ReversingLabs report published today, this di
npm コマンド一覧 チートシート - コムテブログ
TL;DR フロントエンドエンジニアの方々にとって、npm コマンドは日常的に使用されるツールだと思います。 Next.js を用いたプロジェクトでは、npm コマンドを活用して開発作業を効率化する場面が多く、修正やバージョンアップにも役立ちます。この記事では、Next.js プロジェクトで頻繁に使われる npm コマンドを一覧で紹介し、各コマンドがどのような状況で活躍するのか、使いどころを解説します。 予備知識 npm コマンドを扱う上での予備知識を簡単に解説します。 npm について npm(Node Package Manager)は、Node.js のパッケージマネージャーで、JavaScript のコードやライブラリを管理するためのツールです。npm は、公式の npm レジストリからパッケージをダウンロードしたり、自分自身で作成したパッケージを公開したりすることができます。これ
Deno Advent Calendar 2023 1日目の記事です。 動機 僕はGitHub上のプライベートリポジトリでZennの記事を管理しており、記事のscaffold作成やプレビューなどはZenn CLIを利用しています。Zenn CLIはNode.js製なので当然Node.jsが必要です。ドキュメントに書いてある通り、以下のようにすればCLIのインストールおよびディレクトリ内のセットアップが完了します。とても簡単です。 今回Advent Calendarの記事を書くにあたり、久しぶりにリポジトリを開き、以前と同じように npx zenn new:article で記事のscaffoldを作成しようとしましたが、ここでふと、「Denoでも普通に動くのでは?」と疑問に思いました。 最近のDenoはNode.js互換性に非常に注力しており、バージョンアップのたびに互換性が向上しています
この記事はフィヨルドブートキャンプ Advent Calendar 2023 の1日目の記事です。 フィヨルドブートキャンプというプログラミングスクールに入ってしばらく経った。いろいろな課題をクリアしていくが、その中でオリジナルnpmをつくる、という課題があったのでこれをつくった。 www.npmjs.com 日本語をゴリラ語に、ゴリラ語を日本語に変換するものである。 なぜこれをつくったか エンジニアと人生コミュニティという集まりで、一時期ゴリラが流行っていた。何人かがゴリラになって、語尾にウホをつけたり、「ウホ」スタンプが作成されたりした。ちょうど私もウホ語を理解したいと思っていたため、このようなnpmを作ることになった。 ウとホの二進数 まずは日本語をウホ語に置き換えることを考えないといけない。単純にやるなら文字をウとホの二進数におきかえればいい。文字コードを二進数に変換し、その0と1
こんにちは、 Classi でソフトウェアエンジニアやってます koki です。 この記事では、 Renovate によって Classi の社内向け npm package を自動アップデートさせるために行った設定についてまとめます。 概要 Classi では、社内向けの共通ライブラリや Docker イメージなどを GitHub Packages で管理しています。 この GitHub Packages の利用により、それらのプライベートなパッケージを社内の様々なシステムから安全且つ効率的に利用することを実現しています。 例えば、今年の 6 月にプレスリリースが出された学習トレーニング機能を裏で支えているコンテンツ管理システムで利用している GraphQL Schema は GitHub Packages の npm registry でプライベートな npm package として管
npxを使って一時的に特定バージョンのnodeとnpmで「npm install」する|TechRacho by BPS株式会社
小ネタです、タイトルにはnpm installと書きましたがもちろんnpm startなどにも使えます。 TL;DR npx --package=node@16.20.2 --package=npm@8.19.4 -- npm install 説明 最近はNodeインストール時にデフォルトで一緒にインストールされるnpx、これは例えば npx create-next-app@latest (https://nextjs.org/docs/app/api-reference/create-next-appより など、その場で手軽にnodeパッケージを実行する時に使われたりします。 ところでこのnpxは実行したいコマンドのパッケージのバージョンを指定するオプションがありますが、さらに 実行したいコマンドと別にパッケージのバージョンを指定できる、しかも--packageの書式なら複数OK という
npm, yarn and pnpm are now supported natively in WebContainers
npm, yarn and pnpm are now supported natively in WebContainers The road to innovation is a long and winding one and includes constant improvements and reiterations. This is very much the story of WebContainers as well. Our team reimagined and redesigned its building blocks multiple times to ensure their utmost speed and safety. In this spirit, we have been working tirelessly the past year on shipp
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
node_modulesの問題点とその歴史 npm, yarnとpnpm
そのテスト、最後まで実行されていますか? jestとnpm-run-allの恐るべき罠
ni.zsh: npmインストール時のサプライチェーン攻撃を検知する機能を追加
時期を決めて定期的に更新するnpmパッケージをChangesetsで管理する
Deno + dntでCJS・ESMに対応したnpmパッケージを作ろう
Introducing the Vercel AI SDK: npm i ai – Vercel
Fresh 1.2 – welcoming a full-time maintainer, sharing state between islands, limited npm support, and more
TS Docs | Reference docs for npm packages
The massive bug at the heart of the npm ecosystem
npm provenance general availability
Improvements to granular access tokens on npm
【パッケージマネージャ】npmとyarnについて - Qiita
Announcing native npm support on Deno Deploy
dnt — the easiest way to publish a hybrid npm module for ESM and CommonJS
Denoでnpmモジュールを実行してみよう - Zenn CLI編
ウホウホゴリラnpmをつくった。 - マトリョーシカ的日常
社内npm packageをRenovateで更新する方法 - Classi開発者ブログ