Ferramentas & Produtividade Nathan Geeksman

Gerenciadores de Pacotes: NPM, Yarn e Pip

Gerenciadores de Pacotes: NPM, Yarn e Pip

Gerenciadores de Pacotes: NPM, Yarn e Pip

Introdução

Os gerenciadores de pacotes desempenham um papel fundamental no desenvolvimento de software, permitindo que os programadores gerenciem dependências e bibliotecas de forma eficiente e escalável. No contexto atual do desenvolvimento de software, a escolha correta de um gerenciador de pacotes pode influenciar significativamente o processo de desenvolvimento, manutenção e desempenho do projeto.

Neste artigo, vamos explorar três dos principais gerenciadores de pacotes utilizados no desenvolvimento web: NPM (Node Package Manager), Yarn e Pip. Vamos abordar suas características, vantagens e desvantagens para entender melhor qual é o mais adequado para cada contexto.

Ao final deste artigo, você terá uma compreensão clara sobre as funcionalidades, benefícios e limitações de cada gerenciador de pacotes mencionado, permitindo que você faça escolhas informadas em seu projeto.

O que é e por que importa

Um gerenciador de pacotes é um software responsável por gerenciar as dependências e bibliotecas de um projeto, tornando mais fácil e eficiente a instalação, atualização e remoção desses componentes. Afinal, os projetos modernos são compostos por milhares de linhas de código, distribuídos em centenas de módulos, que dependem uns dos outros para funcionar corretamente.

A motivação por trás da criação de gerenciadores de pacotes foi resolver o problema de dependência transitiva, ou seja, a necessidade de instalar bibliotecas e dependências secundárias quando um projeto depende diretamente de uma biblioteca que requer outras dependências. Isso pode resultar em complexidades adicionais no processo de instalação e gerenciamento das dependências.

Com o surgimento do Node.js, surgiu também a necessidade de um sistema eficiente para gerenciar as bibliotecas, dando origem ao NPM (Node Package Manager). Posteriormente, outros sistemas como Yarn foram desenvolvidos com o objetivo de superar algumas limitações encontradas no NPM. Já os projetos Python utilizam o Pip para gerenciar as suas dependências.

Os gerenciadores de pacotes permitem que os desenvolvedores:

  • Gerenciem versões específicas de bibliotecas e dependências;
  • Instalem, atualizem ou removam facilmente as dependências;
  • Evitem conflitos entre diferentes versões de bibliotecas;
  • Melhoram a eficiência no gerenciamento de projetos complexos.

Os gerenciadores de pacotes são fundamentais para garantir que os projetos sejam escaláveis, mantidos e atualizados com facilidade.

Como funciona na prática

Aqui está uma visão geral simplificada de como os gerenciadores de pacotes funcionam internamente:

Instalação de Pacotes

Os gerenciadores de pacotes utilizam um arquivo de configuração, chamado package.json (NPM) ou yarn.lock (Yarn), que contém informações sobre as dependências do projeto. Quando você executa o comando de instalação de pacotes, como npm install, ou yarn install, o gerenciador de pacotes realiza as seguintes etapas:

  • Leitura da configuração: O gerenciador lê as informações das dependências presentes no arquivo de configuração.
  • Verificação das dependências: As dependências são verificadas para garantir que elas existam e estão atualizadas.
  • Baixar as dependências: As dependências são baixadas do repositório remoto (NPM, GitHub Package Registry etc).
  • Instalação local: As dependências são instaladas na pasta de node_modules.

Atualização e Remoção

Quando você executa o comando npm update ou yarn upgrade, o gerenciador de pacotes faz as seguintes ações:

  • Leitura da configuração atualizada: O gerenciador lê a nova versão do arquivo de configuração.
  • Comparação com a versão anterior: As dependências são comparadas para ver se há alterações nas versões das bibliotecas.
  • Atualização ou remoção das dependências: Se há alterações, as dependências são atualizadas ou removidas.

O gerenciador de pacotes também pode realizar a remoção de dependências inutilizadas, melhorando assim o desempenho e a organização do projeto.

Exemplo real

Suponha que você esteja trabalhando no projeto de um sistema de gerenciamento de estoque, utilizando Node.js e as dependências express para servir a aplicação e mongodb para armazenar os dados.

// package.json (versão inicial)
{
  "name": "estoque",
  "version": "1.0.0",
  "dependencies": {
    "express": "^4.17.1",
    "mongodb": "^3.6.4"
  }
}

// yarn.lock (versão atualizada após instalação)
"express@^4.17.1":
  version "4.17.1"
  resolved "https://registry.yarnpkg.com/express/-/express-4.17.1.tgz#f7b9c64a2dc3f3d8d77b9aeb93e4d46f6c9877d2"
  dependencies:
    accept-parser "^1.2.0"
    content-disposition "^0.5.3"

"mongodb@^3.6.4":
  version "3.6.4"
  resolved "https://registry.yarnpkg.com/mongodb/-/mongodb-3.6.4.tgz#8d7e9f4c29a5b45ce2aafba4ddac0e6e85cde1ad"

// yarn.lock (versão atualizada após update)
"express@^4.17.1":
  version "4.18.0"
  resolved "https://registry.yarnpkg.com/express/-/express-4.18.0.tgz#f9b16a53b3d7bead2e78a9f6c85a8bb5b89c8f94"
  dependencies:
    accept-parser "^1.3.0"

"mongodb@^3.6.4":
  version "3.6.4"
  resolved "https://registry.yarnpkg.com/mongodb/-/mongodb-3.6.4.tgz#8d7e9f4c29a5b45ce2aafba4ddac0e6e85cde1ad"

// package.json (após remoção de express)
{
  "name": "estoque",
  "version": "1.0.0",
  "dependencies": {
    "mongodb": "^3.6.4"
  }
}

Boas práticas

Verifique a compatibilidade de versões antes de atualizar

Antes de realizar uma atualização, verifique se todas as dependências estão atualizadas para a mesma versão, evitando incompatibilidades.

Use um gerenciador de pacotes consistentemente

Escolha uma ferramenta e use-a em todo o projeto, facilitando a gestão das dependências.

Mantenha o arquivo package.json atualizado

Altere manualmente somente as informações necessárias e mantenha-o sincronizado com o arquivo de lock gerado pelo gerenciador de pacotes.

Armadilhas comuns

Não remova pacotes sem verificar a versão da dependência

Evite remover pacotes sem garantir que todas as dependências sejam atualizadas para a mesma versão, evitando incompatibilidades.

Não altere manualmente o arquivo yarn.lock ou package-lock.json

Esses arquivos são gerados automaticamente pelos gerenciadores de pacotes e devem ser deixados intactos, a menos que seja necessário realizar uma atualização forçada.

Conclusão

A gestão eficaz de dependências é crucial para garantir a estabilidade e escalabilidade dos projetos. Os gerenciadores de pacotes como NPM, Yarn e Pip são ferramentas essenciais nesse processo. Ao utilizar esses gerenciadores de forma consistente e seguir as boas práticas apresentadas, os desenvolvedores podem evitar armadilhas comuns e garantir que suas dependências estejam atualizadas para a mesma versão.

Para uma melhor gestão de pacotes, recomendamos:

  • Utilizar um gerenciador de pacotes em todo o projeto
  • Manter atualizado o arquivo package.json (NPM) ou yarn.lock (Yarn)
  • Realizar verificações de compatibilidade de versões antes das atualizações
  • Evitar alterações manuais nos arquivos de lock gerados

Além disso, é fundamental estar ciente das últimas características e funcionalidades dos gerenciadores de pacotes para garantir a continuidade do projeto.

Referências

  • Martín Fowler. "Enterprise Integration Patterns". https://www.martinfowler.com/articles/enterpriseIntegrationPatterns.html, 2004.
  • Thoughtworks. "12 Factor App". https://12factor.net/pt_br/build-release-run, 2020.
  • OWASP. "Guide to Building Secure Web Applications and Web Services". https://owasp.org/www-project-web-security-testing-guide/, 2017.
  • npm documentation - Package Lock File (package-lock.json). https://docs.npmjs.com/package-lock-json
  • Yarn Documentation: yarn.lock file. https://classic.yarnpkg.com/en/docs/package-json/
  • MDN Web Docs. "npm". https://developer.mozilla.org/pt-BR/docs/Web/JavaScript/Glossário/NPM