Neues für den alternativen Node Package Manager

Yarn 2.4: Dependency-Prüfung mit Audit integriert

Ann-Cathrin Klose

© Shutterstock / Kostikova Natalia

Yarn 2.4 ist da. Das Update bringt ein wichtiges Feature für alle Entwickler mit, die ihre Dependencies auf bekannte Schwachstellen prüfen müssen: audit ist nun auch in der npm-Alternative verfügbar. Auch an der CLI-Ausgabe wurde gearbeitet.

Yarn 2.4 bringt einige spannende Features mit. Das Update für die npm-Alternative setzt erneut darauf, beliebte Features aus npm zu integrieren. Auch die Usability steht wieder im Fokus. Neu in der nun veröffentlichten Version ist der Support für audit. Damit können Entwickler prüfen, ob die Dependencies, die sie in ihrem Projekt verwenden, von bekannten Schwachstellen betroffen sind. Yarn 2.4 bringt verschiedene Optionen für diesen CLI-Befehl mit, darunter eine, die nicht nur direkte, sondern auch transitive Dependencies aus den verwendeten Komponenten prüft: yarn npm audit --recursive. Auch die Ausgabe der Ergebnisse dieser Tests ist so gestaltet worden, dass Entwickler in Yarn leichter erkennen können, ob Schwachstellen vorliegen.

Yarn 2.4: Usability im Fokus

Die Usability stand auch in Hinblick auf die ausgegebenen Warnungen im Zentrum der neuen Version – ebenfalls im Kontext der Dependency-Verwaltung. Warnungen, die sich auf Peer-Requirements beziehen, umfassen nun nur noch die zentrale Information, die zu einer konkreten Handlung umgesetzt werden kann. Wie Maël Nison, Yarn-Maintainer, im Blogpost zum Release erläutert, sind Peer-Dependencies konzeptuell oft schwer nachvollziehbar. Viele Faktoren haben Auswirkungen darauf, was installiert werden muss, sodass komplexe Warnungen, die dies aufschlüsseln, oft verwirrend waren. Darum lautet die neue Strategie von Yarn, nur noch den anwendbaren Teil der Warnungen anzuzeigen. Weitere Informationen zu Yarn 2.4 können dem Blogpost zum Release entnommen werden.

Das nächste Release soll bereits v3.0 werden, weitere Minor-Versionen von v2 sind nicht vorgesehen. Während der Schritt von Yarn 1.x auf 2.0 groß war, sollen die Breaking Changes dieses Mal jedoch nicht so massiv ausfallen. Dennoch ist Yarn aber semantisch versioniert, sodass die Major-Version nicht ganz ohne potenziell problematische Änderungen auskommen wird. Auf dem Plan steht beispielsweise, dass node-gyp in Zukunft nicht mehr implizit für Dependencies und Builds verwendbar sein soll, sondern explizit angegeben werden muss. Details zu Yarn 3 gibt es in der entsprechenden GitHub Issue nachzulesen.

Verwandte Themen:

Geschrieben von
Ann-Cathrin Klose
Ann-Cathrin Klose
Ann-Cathrin Klose hat allgemeine Sprachwissenschaft, Geschichte und Philosophie an der Johannes Gutenberg-Universität Mainz studiert. Bereits seit Februar 2015 arbeitete sie als redaktionelle Assistentin bei Software & Support Media und ist seit Oktober 2017 Redakteurin. Zuvor war sie als freie Autorin tätig, ihre ersten redaktionellen Erfahrungen hat sie bei einer Tageszeitung gesammelt.
Kommentare

Hinterlasse einen Kommentar

avatar
4000
  Subscribe  
Benachrichtige mich zu: