tl;博士:
如果捆綁的代碼(對于生產包)需要/匯入任何開發依賴項,有沒有辦法配置 webpack(開箱即用或通過某些插件?)以標記/引發警告?(直接通過devDependencies,或間接通過dev: truein package-lock.json)?
語境
我們將dependabot 配置為僅掃描宣告的包dependencies(這可以通過使用dependabot 的allow配置選項來實作)。
然而,為了成為一個可靠的安全程序(因為我們依賴于dependabot的安全漏洞掃描),我們需要一個自動化的程序來確保包被正確放置在dependencies或devDependencies. 一種方法是webpack在任何捆綁代碼包含devDependency.
一些進一步的潛在相關資訊:
這是一個由nxwith管理的 monorepo
- 單
package.json根 - 兩個應用程式(
apps/frontend和apps/backend) - 一些共享庫(在
libs/*)
uj5u.com熱心網友回復:
不,沒有 Webpack 插件可以為你做到這一點。還有一些其他依賴圖遍歷模塊/CLI 工具可以生成這些統計資訊。depcheck就是我經常使用的一個這樣的模塊。
它可以告訴您有關未使用和缺少的模塊的資訊,但不能完全告訴您要尋找的內容。一般來說,很難發現這一點。您宣告的 adevDependency也可能是dependency某些傳遞包的實際值。此外,強制對等依賴項也被宣告為開發依賴項,這使事情變得更加復雜。最后,您可能還擁有僅用于開發目的的腳本,并且在這些腳本中,您還可以匯入這些開發依賴項。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qianduan/490279.html
下一篇:VBA洗掉更改單元格的行除錯錯誤
