プロジェクトに追加された新しい依存関係の追跡
package.jsonファイルを比較して、新しく追加された依存関係を特定し、導入理由を理解し、バンドルサイズへの影響を評価します。
Dependency Management
詳細な説明
新しい依存関係の特定
2つのpackage.jsonファイルを比較する際、Package.json DiffツールはBに存在しAに存在しないパッケージを緑のインジケーターでaddedとしてマークします。これはコードレビューと依存関係監査に不可欠です。
差分での新しい依存関係の表示
dependencies:
+ zod: ^3.22.0 [ADDED]
+ @tanstack/react-query: ^5.0.0 [ADDED]
devDependencies:
+ vitest: ^1.0.0 [ADDED]
+ @testing-library/react: ^14.0.0 [ADDED]
新しい依存関係について確認すべき質問
PRで新しい依存関係を承認する前に、以下を検討してください:
- そのパッケージは積極的にメンテナンスされていますか? 最終公開日と未解決のissueを確認
- パッケージのサイズは? bundlephobia.comなどのツールでバンドルへの影響を確認
- 既存の代替手段はありますか? 既存の依存関係でこのユースケースを処理できませんか?
- ライセンスは互換性がありますか? MIT、Apache 2.0、BSDは一般的に商用利用に安全
- どれだけの推移的依存関係をもたらしますか? 少ないほどセキュリティ上好ましい
結果のフィルタリング
Added onlyフィルターボタンを使用して新しいパッケージだけを表示し、変更なしおよび変更されたエントリをすべて非表示にします。
ユースケース
セキュリティエンジニアがプルリクエストを監査して、コードベースに導入される新しいパッケージを正確に確認し、マージ前に各パッケージのライセンス、メンテナンス状態、既知の脆弱性を検証します。