패키지 버전 고정 및 제외 설정

패키지 버전 고정 및 제외 설정 완벽 가이드

소프트웨어 개발에서 패키지 관리는 필수적인 부분입니다. 프로젝트의 안정성과 재현성을 확보하기 위해서는 패키지 버전 관리가 중요합니다. 이 가이드에서는 패키지 버전 고정 및 제외 설정에 대한 개념, 중요성, 실질적인 방법, 주의 사항 등을 자세히 알아보겠습니다.

패키지 버전 고정, 왜 중요할까요?

패키지 버전 고정은 프로젝트에서 사용하는 외부 라이브러리 또는 종속성의 특정 버전을 명시적으로 지정하는 것을 의미합니다. 왜 버전 고정이 중요할까요?

• 안정성 확보: 패키지의 새로운 버전이 출시되면 기존 코드와 호환되지 않는 변경 사항이 포함될 수 있습니다. 버전 고정을 통해 예상치 못한 오류 발생을 방지하고 프로젝트의 안정성을 유지할 수 있습니다.

• 재현성 확보: 개발 환경, 테스트 환경, 운영 환경 등 다양한 환경에서 동일한 버전의 패키지를 사용함으로써 애플리케이션의 동작을 일관성 있게 유지할 수 있습니다.
• 협업 효율성 증대: 여러 개발자가 동일한 프로젝트에서 작업할 때, 각자의 환경에서 다른 버전의 패키지를 사용하면 문제가 발생할 수 있습니다. 버전 고정을 통해 협업 과정에서 발생할 수 있는 문제를 줄이고 효율성을 높일 수 있습니다.

패키지 버전 고정 방법, 어떻게 할까요?

패키지 관리 도구(예: npm, pip, yarn, composer)를 사용하여 패키지 버전을 고정할 수 있습니다. 각 도구별로 방법은 조금씩 다르지만, 기본적인 원리는 같습니다.

npm (Node Package Manager)

npm을 사용하는 경우, package.json 파일에서 패키지 버전을 지정할 수 있습니다.

정확한 버전 지정:

{

  "dependencies": {

    "lodash": "4.17.21"

  }

}

lodash 패키지의 4.17.21 버전을 정확하게 지정합니다.

버전 범위 지정:

{

  "dependencies": {

    "lodash": "^4.17.21"

  }

}

^ 기호는 4.17.21 이상의 마이너 버전 업데이트를 허용합니다. 즉, 4.18.0, 4.19.0 등은 허용되지만, 5.0.0은 허용되지 않습니다.

~ 기호는 4.17.21 이상의 패치 버전 업데이트를 허용합니다. 즉, 4.17.22, 4.17.23 등은 허용되지만, 4.18.0은 허용되지 않습니다.

npm shrinkwrap 또는 package-lock.json 사용:

npm shrinkwrap 명령 또는 package-lock.json 파일을 사용하여 프로젝트에서 사용하는 모든 패키지의 정확한 버전을 기록하고 관리할 수 있습니다. 이는 transitive dependencies(간접 의존성)까지 포함하여 모든 의존성을 고정하는 강력한 방법입니다.

npm install

npm shrinkwrap

또는 npm 5 이상에서는 npm install 실행 시 자동으로 package-lock.json 파일이 생성됩니다.

pip (Python Package Installer)

pip을 사용하는 경우, requirements.txt 파일을 사용하여 패키지 버전을 지정할 수 있습니다.

정확한 버전 지정:

requests==2.26.0

requests 패키지의 2.26.0 버전을 정확하게 지정합니다.

버전 범위 지정:

requests>=2.26.0

requests 패키지의 2.26.0 이상의 버전을 허용합니다.

pip freeze 사용:

현재 환경에 설치된 모든 패키지와 버전을 requirements.txt 파일에 저장할 수 있습니다.

pip freeze > requirements.txt

이후 다른 환경에서 requirements.txt 파일을 사용하여 동일한 패키지 버전을 설치할 수 있습니다.

pip install -r requirements.txt

Yarn

Yarn을 사용하는 경우, yarn.lock 파일을 사용하여 패키지 버전을 고정합니다. yarn.lock 파일은 package.json 파일에 명시된 의존성뿐만 아니라 모든 transitive dependencies의 정확한 버전을 기록합니다. Yarn은 yarn.lock 파일을 기반으로 의존성을 설치하므로, 프로젝트에 참여하는 모든 개발자는 동일한 버전의 패키지를 사용하게 됩니다.

yarn install

Composer (PHP Dependency Manager)

Composer를 사용하는 경우, composer.json 파일에서 패키지 버전을 지정할 수 있습니다. composer.lock 파일은 composer.json 파일에 명시된 의존성뿐만 아니라 모든 transitive dependencies의 정확한 버전을 기록합니다.

정확한 버전 지정:

{

  "require": {

    "monolog/monolog": "2.0.0"

  }

}

버전 범위 지정:

{

  "require": {

    "monolog/monolog": "^2.0"

  }

}

composer.lock 파일을 통해 버전 고정을 유지합니다.

composer install

패키지 제외 설정, 왜 필요할까요?

때로는 특정 패키지를 프로젝트에서 제외해야 할 경우가 있습니다. 예를 들어, 개발 환경에서만 필요한 패키지를 운영 환경에서 제외하거나, 특정 패키지 간의 충돌을 해결하기 위해 특정 패키지를 제외해야 할 수 있습니다.

• 불필요한 의존성 제거: 개발 환경에서만 필요한 패키지(예: 테스팅 라이브러리)를 운영 환경에서 제외하여 애플리케이션의 크기를 줄이고 성능을 향상시킬 수 있습니다.

• 패키지 충돌 해결: 서로 호환되지 않는 패키지 간의 충돌을 해결하기 위해 특정 패키지를 제외해야 할 수 있습니다.
• 보안 취약점 해결: 보안 취약점이 발견된 패키지를 사용하지 않도록 제외해야 할 수 있습니다.

패키지 제외 설정 방법, 어떻게 할까요?

패키지 관리 도구를 사용하여 특정 패키지를 제외할 수 있습니다. 각 도구별로 방법은 조금씩 다릅니다.

npm (Node Package Manager)

devDependencies 사용:

개발 환경에서만 필요한 패키지는 devDependencies에 등록합니다. 이렇게 하면 운영 환경에서는 해당 패키지가 설치되지 않습니다.

{

  "devDependencies": {

    "jest": "^27.0.0"

  }

}

jest는 테스팅 라이브러리이므로 개발 환경에서만 필요합니다.

optionalDependencies 사용:

설치가 실패해도 애플리케이션 실행에 영향을 미치지 않는 패키지는 optionalDependencies에 등록합니다. 이 패키지는 설치에 실패하더라도 npm은 오류를 발생시키지 않고 계속 진행합니다.

peerDependencies 사용:

특정 패키지가 호스트 애플리케이션에 의해 제공될 것으로 예상되는 경우, peerDependencies에 등록합니다. 이는 플러그인 또는 확장 라이브러리를 개발할 때 유용합니다.

pip (Python Package Installer)

requirements.txt 분리:

개발 환경과 운영 환경에 따라 requirements.txt 파일을 분리하여 관리합니다. 예를 들어, requirements.txt에는 운영 환경에 필요한 패키지를, requirements-dev.txt에는 개발 환경에 필요한 패키지를 등록합니다.

requirements.txt


requests==2.26.0


requirements-dev.txt


pytest==6.2.4

개발 환경에서는 다음 명령을 사용하여 모든 패키지를 설치합니다.

pip install -r requirements.txt -r requirements-dev.txt

운영 환경에서는 다음 명령을 사용하여 운영 환경에 필요한 패키지만 설치합니다.

pip install -r requirements.txt

Yarn

Yarn은 npm과 유사하게 devDependencies, optionalDependencies, peerDependencies를 지원합니다.

yarn add jest --dev

Composer (PHP Dependency Manager)

Composer 또한 require-dev를 사용하여 개발 환경에서만 필요한 패키지를 지정할 수 있습니다.

{

  "require-dev": {

    "phpunit/phpunit": "^9.0"

  }

}

패키지 버전 관리 시 주의 사항

• 최신 버전 유지: 보안 업데이트 또는 성능 개선이 포함된 최신 버전의 패키지를 사용하는 것이 좋습니다. 하지만 업데이트 전에 반드시 테스트를 수행하여 호환성 문제를 확인해야 합니다.

• 취약점 관리: 패키지의 보안 취약점을 주기적으로 확인하고, 취약점이 발견된 경우 즉시 업데이트해야 합니다.
• 문서화: 프로젝트에서 사용하는 패키지와 버전을 명확하게 문서화하여 다른 개발자들이 쉽게 이해할 수 있도록 해야 합니다.
• 자동화: 패키지 업데이트 및 보안 취약점 검사를 자동화하는 도구를 사용하는 것이 좋습니다.

자주 묻는 질문 (FAQ)

Q: 버전 범위를 지정할 때 어떤 기호를 사용해야 할까요?

A: ^, ~, >, >=, <, <= 등의 기호를 사용하여 버전 범위를 지정할 수 있습니다. 각 기호의 의미를 정확하게 이해하고 프로젝트의 요구 사항에 맞게 선택해야 합니다.

Q: package-lock.json 또는 yarn.lock 파일을 커밋해야 할까요?

A: 네, 반드시 커밋해야 합니다. 이 파일들은 프로젝트에서 사용하는 모든 패키지의 정확한 버전을 기록하고 있으므로, 프로젝트의 재현성을 확보하는 데 매우 중요합니다.

Q: 패키지 업데이트 시 어떤 점을 주의해야 할까요?

A: 패키지 업데이트 전에 반드시 테스트를 수행하여 호환성 문제를 확인해야 합니다. 또한, 업데이트된 패키지의 변경 사항을 확인하고, 필요한 경우 코드 수정 작업을 수행해야 합니다.

Q: 개발 환경과 운영 환경에서 다른 버전의 패키지를 사용해도 될까요?

A: 가능하면 동일한 버전의 패키지를 사용하는 것이 좋습니다. 하지만 개발 환경에서만 필요한 패키지를 운영 환경에서 제외해야 할 경우에는 다른 버전을 사용할 수 있습니다.

전문가의 조언

패키지 버전 관리는 프로젝트의 안정성과 재현성을 확보하는 데 매우 중요한 요소입니다. 처음에는 다소 복잡하게 느껴질 수 있지만, 꾸준히 관심을 가지고 관리하면 프로젝트의 품질을 향상시키는 데 큰 도움이 될 것입니다. 또한, 최신 기술 동향을 꾸준히 학습하고, 다양한 도구를 활용하여 패키지 관리 프로세스를 자동화하는 것이 좋습니다.