Чем технически отличаются dev-, prod- и peer-зависимости в Node JS?

Question

[johnymkp]

Прочитав много статей и вопросов с ответами, я вроде бы понял что к чему, но хочу уточнить некоторые моменты. Итак:

dev-зависимости

это зависимости, нужные чтобы разрабатывать пакет, тестировать его, билдить и т.д. Пример dev-зависимости - это typescript-компилятор. Очевидно, что после компиляции он становится не нужен - пакет сможет работать и без него.

prod-зависимости

это зависимости, нужные пакету уже в процессе его работы. Например, если он пользуется axios для работы с http-запросами, то если вместе с этим пакетом не поставить axios, то пакет работать не сможет.

peer-зависимости

это зависимости, которые просто требуются пакету для чего либо. Пир-зависимость может быть нужна и на этапе разработки, и в процессе работы. Т.е. концептуально пир-зависимость не имеет такого четкого назначения как dev и prod. Пир-зависимость, скорее, выделяется чисто технически - она не является частью пакета (хотя он в ней нуждается) и устанавливается "параллельно" с ним.

С практической точки зрения, тип зависимости определяет, будет ли эта зависимость скачиваться к нам на компьютер, когда мы пользуемся пакетом, который от нее зависит.

Для наглядности: пусть у нас есть пакет Fake, а у него такие зависимости:
* dev: dev1, dev2
* prod: prod1, prod2
* peer: peer1

У нас всего два сценария пользования Fake'ом:

1) просто пользоваться

Если мы хотим просто пользоваться пакетом Fake, т.е. устанавливаем его как `npm i fake`, то нам установятся также prod1, prod2 и peer1. Причем структура получится примерно такая:

/ корневая директория нашего проекта
  package.json
  /node_modules
      /fake
          package.json
          /node_modules
              /prod1  - прод-зависимости пакета Fake установились как "его часть", внутрь его собственной папки модулей.
              /prod2
      /peer1  - пир-зависимость пакета Fake установилась "параллельно" с ним, в папку модулей "клиента"

2) дебажить, дорабатывать

Если мы хотим "дебажить-дорабатывать" пакет Fake, то мы скачиваем исходники и из его корня вызываем `npm install`. В этом случае нам устанавливаются всего его зависимости - и prod, и peer, и dev:

/ корневая директория нашего проекта
  package.json
  /node_modules
      /fake
          package.json
          /node_modules
              /prod1
              /prod2
              /dev1  - dev-зависимости тоже поставились как часть пакета Fake
              /dev2
      /peer1

Таким образом получаются такие выводы:
* Деление зависимостей на dev и prod - это просто условность, чтобы не тянуть лишние зависимости. Мы могли бы объявить все зависимости как prod и все бы так же работало, просто занимало бы больше месте на диске.
* peer-зависимости - обычно предназначены для подключения особо крупных библиотек, вроде react (типичный пример, приводимый в интернете без толкового объяснения, почему), когда предполагается, что множество более мелких библиотек будут пользоваться одной и той же версией этой крупной библиотеки. Теоретически, мы могли бы отмечать и мелкие библиотеки как peer-зависимости, но это (вероятно) дало бы лишнюю нагрузку за счет необходимости анализировать версии зависимостей (т.к. проще, когда каждая библиотека просто тащит мелочовку вроде axios нужных версий к себе и получается меньше потенциальных конфликтов версий).

Вопрос получился большой, возможно даже на мини-статью тянет. Я составил его потому, что везде, где я на эту тему читал, были какие-то недомолвки, которые я попытался закрыть. Кому не лень, почитайте и напишите, где я ошибся или мб сможете добавить каких-то деталей.

Comments

[Михаил Р.]

Tree-shaking-у плевать, как установлена Ваша библиотека. Даже если поставить TS в prod, он будет вырезан, как не используемый.

[Дмитрий Беляев]

Михаил Р., какой tree-shaking если речь о ноде и ничего не бандлится?

Answer 1

[Алексей Уколов]

peer-зависимости - обычно предназначены для подключения особо крупных библиотек

Крупность тут ни при чём. Peer-зависимости нужны для реализациии чего-то типа плагинов - они позволяют этому самому плагину сказать "я работают в такой-то библиотеке такой-то версии, но сама эта библиотека в моём коде не используется". Таким образом при установке плагина проверяется, что на одном с ним уровне есть эта библиотека, но в зависимости плагина она не тянется.

Теоретически, мы могли бы отмечать и мелкие библиотеки как peer-зависимости.

Peer-зависимости вообще не используются в конечных приложениях, они нужны только для библиотек, которые сами будут распространяться как пакеты. А у таких библиотек не может быть много peer-зависимостей по определению.

Ну и вообще-то не особо понятно, в чём конкретно у вас вопрос.

Comments

[johnymkp]

Не очень понял.

Например есть библиотека Foobar версии 1.4.5
И есть плагин Plug к ней.

По идее, это именно библиотека пользуется плагином, а плагин значит является независимой единицей и не пользуется кодом библиотеки. Значит, Plug является пир-зависимостью для Foobar, т.е. у Foobar в секции peerDeps находится Plug?

[johnymkp]

Вопрос у меня в том, правильные ли я выводы сделал. Потому что если бы я просто спросил, "что такое peer-зависимость" например, меня бы просто отослали на один из десятков существующих ответов, а я их прочитал (и не только их) и все равно не понял, потому что в моем видении они не полные. Так что я расписал свое текущее понимание и через уточнения хочу-таки разобраться.

[Алексей Уколов]

Библиотека плагином тоже не пользуется, ей от его существования ни горячо, ни холодно. Соответственно, у Foobar никаких зависимостей нет, у Plug зависимостей тоже нет, но в peer-зависимостях указано, что те, кто хочет Plug установить к себе в качестве зависимости, должны установить рядом с ним и Foobar тоже.

[Lynn «Кофеман»]

Ещё одно важное свойство peerDependencies это проверка совместимости разных версий.

Если у вас есть PlugA который работает с Foobar@1.0.0 и PlugB который работает с Foobar@2.0.0, то peerDependencies в каждом их них покажут конфликт при установке и вам надо будет это как-то починить.

А если вместо peerDependencies указать просто dependencies, то каждый из них поставит себе свою версию Foobar и потом вы будет долго искать фантомные баги.

[Алексей Уколов]

если вместо peerDependencies указать просто dependencies

Lynn «Кофеман», технически это, емнип, невозможно, потому что это будут зависимости библиотек (которые им не нужны и в них не используются), а не зависимости приложения. А в приложении одну и ту же библиотеку не добавить дважды в зависимости.

Но то, что это не позволит установить два плагина для разных версий библиотеки - факт.

[Lynn «Кофеман»]

Алексей Уколов, ну с npm всё возможно. Он же попробует сплющить дерево и Foobar попадёт в область видимости приложения. Это прямо-таки стандартная ошибка новичков и не только.

Особенно весело когда изначально у тебя были
PlugA@1.0.0 dep Foobar@1.0.0
PlugB@1.0.0 dep Foobar@1.0.0
И всё радостно на диске лежало в виде трёх папок на одном уровне

node_modules
    Foobar (1.0.0)
    PlugA (1.0.0)
    PlugB (1.0.0)

а потом ты решил обновить PlugB до версии 2.0.0 и он стал зависеть от Foobar@2.0.0 и на диске появляется это

node_modules
    Foobar (1.0.0)
    PlugA (1.0.0)
    PlugB (2.0.0)
        Foobar (2.0.0)

но поскольку в реальности Plug2 явно не вызывает Foobar, то в итоге он будет работать с Foobar@1 из верхнего уровня и привет два часа счастливого дебага.

[Lynn «Кофеман»]

> технически это, емнип, невозможно

Технически ты можешь написать в dependencies что угодно и никак это не использовать.

[Алексей Уколов]

Он же попробует сплющить дерево

Lynn «Кофеман», вот я не мог сходу вспомнить реализовали это поведение или нет и если да, то как именно.

[Lynn «Кофеман»]

Алексей Уколов, npm плющит дерево где-то с 3 или 4 версии

[johnymkp]

Алексей Уколов,
Я крепко запутался. Давайте определимся, что вы подразумеваете под плагином? Я например два вида могу представить:
1) На примере джавы: нечто вроде драйвера-реализации JDBC. Есть интерфейс работы с БД, зафиксированный стандартом. Есть провайдеры, которые этот интерфейс реализуют. Вы берете реализацию, кидаете в определенную папочку, пишете нечто вроде Provider.createConnection(параметры), у вас происходит автоматический поиск подсунутых реализаций и как только она найдена, вам возвращается объект, через который вы работаете с БД. В этом случае явно прослеживается связь между "библиотекой" и "плагином". В роли библиотеки тут, грубо говоря, "джава", а в роли плагина - конкретная реализация интерфейса.
2) Плагины вроде html-webpack-plugin, которые реально никак не связаны ни с какой библиотекой и делают какую-то свою мелочь, типа чистит папку при каждом билде или подключает скрипт в html-страницу.

Второй вариант как будто бы не о нашем разговоре, потому что там зависимостями не пахнет, все как раз независимо. А как при первом варианте возможно, как вы говорите

Библиотека плагином тоже не пользуется, ей от его существования ни горячо, ни холодно. Соответственно, у Foobar никаких зависимостей нет, у Plug зависимостей тоже нет, но в peer-зависимостях указано, что те, кто хочет Plug установить к себе в качестве зависимости, должны установить рядом с ним и Foobar тоже.

, я представить не могу.

Lynn «Кофеман», что значит сплющивание? Перенос зависимостей из собственной node_modules пакета в папку node_modules проекта?
И что значит

но поскольку в реальности Plug2 явно не вызывает Foobar, то в итоге он будет работать с Foobar@1 из верхнего уровня и привет два часа счастливого дебага.

"явно не вызывает Foobar"? Хотя тут тоже надо уточнить, что именно вы под плагином имеете ввиду.

[Lynn «Кофеман»]

johnymkp, естественный пример плагина. У вас есть eslint и вы написали себе конфиг для него.
Что бы не копипастить этот конфиг в каждый свой проект, вы хотите оформить его в виде npm-пакета.
И получается, что по сути в вашем пакете будет один JSON-файл с конфигом и никаких явных зависимостей от eslint, вы же не вызываете его явно.
Но при этом ваш пакет без eslint не особо полезен, поэтому вы пишете ему в peerDependencies что нужен eslint. Ну и поскольку вы использовали какие-то правила которые есть только eslint@9, то вы указываете именно эту версю (диапазон версий) в peerDependencies.

Вот, ктстати, пример такого плагина (довольно древний), в пакете три конфига на выбор и peerDependency от eslint https://github.com/yandex/mapsapi-codestyle/tree/m...

И как видите никакого явного вызова eslint в пакете нет, т.е. тот кто будет использовать этот пакет будет сам указывать eslint-у что надо ещё использовать и конфиги из этого пакета.

[Дмитрий Беляев]

johnymkp, второй пример как раз про это.
html-webpack-plugin использует функционал webpack, например подписывается на его хуки. И использовать он должен именно тот webpack, который ему дали мы, как пользователи двух этих пакетов.
То есть html-webpack-plugin должен подписаться на хуки именно того webpack, который используем мы, а не того что залетел дополнительно с ним, по этому у html-webpack-plugin есть peer зависимость от webpack. Ему нужен webpack для работы, но свой (prod зависимость) ему тянуть нельзя.

[Lynn «Кофеман»]

johnymkp, но в целом как обычно никакой строгой границы не существует. Плагин тоже может вызывать базовый пакет, но по сути оставаться плагинов и описывать базовый пакет как peerDependencies.

Я для себя определяю плагин примерно так:
- базовый пакет должен использоваться приложением напрямую (eslint, webpack, typescript, ...), а плагин это дополнительная плюшка которая каким-то образом добавляется к базовому пакету (обычно в виде конфига);
- несколько плагинов обязаны использовать один базовый пакет, т.е. не может быть ситуации что PlugA использует Foobar@1, а PlugB использует Foobar@2, установка зависимостей должна ругаться.
- сам по себе плагин практически бесполезен (конфиг eslint без eslint не нужен, плагин вебпака без вебпака бесполезен).

[johnymkp]

Дмитрий Беляев, вроде стало понятнее. Если перевести на какую-нибудь житейскую аналогию, то получается примерно так: есть Садовник и Охранник (ПакетА и ПакетВ). Садовник в своей работе использует Ножницы и Инсектицид (это его prod-зависимости, он держит их у себя в кармане (в своей личной папке node_modules)), а Охранник - Рацию и Пистолет (тоже prod-зависимости). А в целом Садовник и Охранник работают на Усадьбе (это их peer-зависимость). При этом каждый из них может пользоваться функциональностью усадьбы, например, ЗакрытьВорота или ВключитьВодуДляПоливаГазона. Соответственно, если Садовник вручную поливать не намерен, он указывает в своей пир-зависимости Усадьба 1.5.3 (в которой есть автополив), и если Садовника пытаются нанять на Усадьбу 1.2.0 (пытаются установить пакет в проект, где peer-зависимость неподходящей версии), он предупреждает, что не сможет работать на ней. То же и с Охранником - если Усадьба не огорожена по периметру забором, он патрулировать не намерен. Так что и у него есть свои требования к версии.

Если же вернуться к пакетам, то если в библиотеке появился новый хук и плагин его использует, то этот плагин не сможет работать с более старой версией библиотеки, где этого хука еще не было.

В целом получается, что если у какой-то библиотеки есть peer-зависимость, то это в 99% случаев означает, что библиотека не является чем-то самодостаточным, а предназначена для работы в паре со своей peer-зависимостью.

[Алексей Уколов]

При этом каждый из них может пользоваться функциональностью усадьбы, например, ЗакрытьВорота или ВключитьВодуДляПоливаГазона.

Да, только корректнее сказать "полагаться", чем "пользоваться", потому что "пользоваться" предполагает уже помещение в обычные зависимости. То есть тут не действия/вызов методов, а подписка на события скорее.

А в остальном всё верно.

[johnymkp]

Lynn «Кофеман», а можете написать, что такое сплющивание дерева, о котором вы упоминали?

ну с npm всё возможно. Он же попробует сплющить дерево и Foobar попадёт в область видимости приложения. Это прямо-таки стандартная ошибка новичков и не только.

И еще вы в комментариях писали, что

но поскольку в реальности Plug2 явно не вызывает Foobar, то в итоге он будет работать с Foobar@1 из верхнего уровня и привет два часа счастливого дебага.

. Как в итоге такую проблему обычно решают?

[Lynn «Кофеман»]

johnymkp, ну собственно так и решают, пир-зависимости с указанием версии

Алексей Уколов, можно и пользоваться, но только тем что тебе передали, т.е. садовник не несёт усадьбу с собой, а пользуется возможностями (открывает воду) той куда его наняли.

Т.е. не вызывает явно require('усадьба'), а скорее у него есть init(usadba) { /* запомним на какой усадьбе работаем */ }