Scripts
Comment ?
La section
scripts du fichier package.json permet tout simplement de définir des tâches utilisées par les développeurs ou pour l'automatisation (intégration continue etc...).1
{
2
"scripts": {
3
"deploy": "tools/deploy.sh",
4
"hello": "cowsay 👋",
5
"start": "webpack-dev-server"
6
},
7
"devDependencies": {
8
"cowsay": "*",
9
"webpack-dev-server": "*"
10
}
11
}
Copied!
Il suffit ensuite d'exécuter yarn en lui indiquant le script à exécuter :
1
yarn hello
Copied!
et on obtient le résultat suivant :
1
yarn run v1.6.0
2
$ cowsay 👋
3
___
4
< 👋 >
5
---
6
\ ^__^
7
\ (oo)\_______
8
(__)\ )\/\
9
||----w |
10
|| ||
11
✨ Done in 0.16s.
Copied!
Pourquoi ?
Centraliser et uniformiser
La section
scripts est utilisée comme point d'entrée commun pour toute l'équipe et les outils d'automatisation afin d'uniformiser les commandes utilisées et de centraliser l'information.Utiliser les dépendances locales
En lançant la commande
yarn start, Yarn va d'abord rechercher la commande webpack-dev-server dans le dossier node_modules local (plus exactement, le dossier node_modules/.bin) avant d'utiliser les commandes globalement installées sur la machine.Le but est d'éviter les dépendances globales et donc l'hétérogénéité des versions.
Les développeurs et outils d'automatisation n'ont donc besoin que de deux prérequis : NodeJS et Yarn.
Automatiser
Avant et après l'exécution de
yarn install, Yarn lance respectivement les scripts preinstall et postinstall qui permettent donc d'enrichir la phase d'installation afin d'installer par exemple les dépendances d'autres langages et frameworks.Si vous déployez votre application sur Heroku https://www.heroku.com/, Heroku détecte la présence du fichier
package.json, lance la commande yarn install puis la commande yarn heroku-postbuild qui vous permet de personnaliser le build de votre application.yarn run vs npm run
Pour exécuter une commande avec yarn et lui passer des options, il n'y a pas de surprise :
1
yarn hello -s # -s => stoned cow
Copied!
1
yarn run v1.6.0
2
$ cowsay 👋 -s
3
___
4
< 👋 >
5
---
6
\ ^__^
7
\ (**)\_______
8
(__)\ )\/\
9
U ||----w |
10
|| ||
11
✨ Done in 0.16s.
Copied!
Cela exécute donc la commande
cowsay 👋 -s.En revanche, avec NPM, il faut lancer la commande
run et malheureusement c'est NPM qui consomme les options et dans ce cas particulier, NPM interprète l'option -s qui dans son cas veut dire --silent.1
npm run hello -s
Copied!
1
___
2
< 👋 >
3
---
4
\ ^__^
5
\ (oo)\_______
6
(__)\ )\/\
7
||----w |
8
|| ||
Copied!
Pour passer des options, voici la syntaxe à utiliser :
1
npm run hello -- -s
Copied!
1
> cowsay 👋 "-s"
2
3
___
4
< 👋 >
5
---
6
\ ^__^
7
\ (**)\_______
8
(__)\ )\/\
9
U ||----w |
10
|| ||
Copied!
Donc pour résumer :
yarn hello -s <=> npm run hello -- -sA vous de choisir.
Pour remédier à certains de ces problèmes et apporter de nouvelles fonctionnalités, l'équipe NPM a produit une nouvelle commande
npx que l'on vous recommande d'éviter principalement pour des raisons de sécurité.
Le danger de cette commande est qu'elle installe automatiquement le module que vous lui passez en paramètre et l'exécute immédiatement.Une typo et vous êtes cuits si vous tombez sur module malveillant.
Exemple :
1
npx run hello
Copied!
1
Error: Cannot find module './hello'
Copied!
Fiouf ! Nous venons d'installer inconsciemment le module run (https://yarnpkg.com/en/package/run) qui a ensuite essayer d'exécuter un fichier hello de notre projet. 😱
StackOverflow + Social Engineering = Remote Code Execution
Dernière mise à jour 2yr ago