وابستگی‌ها (Dependencies) • بلاگ فنی

پکیچ‌های نصب‌شده را ردیابی و نظارت کنید: به عنوان مثال، با اجرای دستور npm ls --depth=0، می‌توانید فهرست پکیج‌های سطح اول پروژه‌تان را مشاهده کنید و از وضعیت آن‌ها مطلع شوید. (این کار کمک می‌کند بدانید چه کتابخانه‌هایی در حال حاضر در پروژه نصب هستند و آیا همه آن‌ها مورد استفاده قرار می‌گیرند یا خیر.) (توضیحات بیشتر … ↗)
پکیج‌های بی‌استفاده یا نامربوط را با استفاده از ابزار depcheck شناسایی کنید. (توضیحات بیشتر … ↗)

چرا

با استفاده از ابزار depcheck می‌توانید کتابخانه‌های غیرضروری را که تنها باعث افزایش حجم پروژه شده‌اند را بیابید و حذف کنید.

قبل از استفاده از یک پکیچ، با بهره‌گیری از npm-stat می‌توانید میزان دانلود و محبوبیت یک پکیج را در جامعه برنامه‌نویسان بسنجید. (توضیحات بیشتر … ↗)

چرا

هرچه جامعه استفاده‌کنندگان بزرگ‌تر باشد، احتمال نگهداری بهتر و کشف سریع‌تر باگ‌ها بیشتر خواهد بود.

پیش از افزودن یک وابستگی جدید، نسخه‌های منظم و فعال بودن تیم نگهدارنده (maintainers) را بررسی و ارزیابی کنید. به عنوان مثال، می‌توانید از دستور npm view async کمک بگیرید. (توضیحات بیشتر … ↗)

چرا

اگرچه تعداد بالا و فعالیت مداوم نگهدارندگان، می‌تواند روند رفع باگ‌ها و توسعه را تسهیل بکند، اما اگر مشارکت‌کنندگان نتوانند اصلاحات (fixes) و وصله‌ها (patches) را با سرعت کافی ادغام (merge) کنند، داشتن مشارکت‌کننده‌ی زیاد چندان مؤثر نخواهد بود.

اگر قصد دارید از کتابخانه‌ای کمتر شناخته‌شده (غیرمشهور) استفاده کنید، ابتدا با اعضای تیم خود مشورت نمایید.
همیشه از به‌روزبودن وابستگی‌ها با آخرین نسخه، اطمینان حاصل کنید. می‌توانید با اجرای دستور npm outdated وضعیت نسخه‌های فعلی پکیج‌ها را بررسی کنید. (توضیحات بیشتر … ↗)

چرا

پیش از بروزرسانی، حتماً Release Notes را مطالعه کرده و اگر تغییرات مخربی وجود دارد، آن‌ها را به‌صورت مرحله‌به‌مرحله اعمال کنید تا در صورت بروز مشکل، عیب‌یابی آسان‌تر باشد. ابزاری مانند npm-check-updates ↗ نیز در این زمینه مفید است.

همواره پیش از اضافه کردن یا بروزرسانی یک پکیج، مشکلات امنیتی احتمالی آن را بررسی کنید. برای نمونه، Snyk ↗ به شما گزارش‌های امنیتی مربوط به پکیج موردنظر را ارائه می‌دهد.