<h1 id="%E6%A6%82%E8%A6%81">
<a class="header-anchor-link" href="#%E6%A6%82%E8%A6%81" aria-hidden="true"></a> 概要</h1>
<p>最近退職に伴いTypeScriptプロジェクトのCI/CDの見直しを行っているので主にプルリクに対するCIを中心に何をやっているのか(やっていた＆やろうとしているもの含む)紹介します。<br>
それぞれはさらっとした紹介のみです。</p>
<p>ちなみに書いてから気づいたんですが殆どTS以外でもできます。</p>
<h1 id="tsc%2C-prettier%2C-eslint">
<a class="header-anchor-link" href="#tsc%2C-prettier%2C-eslint" aria-hidden="true"></a> tsc, prettier, eslint</h1>
<p>基本です。恐らく殆どのプロジェクトでやっているかと思います。<br>
<code>tsc</code>は<code>--noEmit</code>オプションを付けて実行、<code>eslint</code>は<code>--cache</code>と<code>--quiet</code>オプションを付けて実行しています。<br>
<code>prettier</code>は<code>--list-different</code>オプションを付けると差分があった場合(=<code>prettier</code>が適用されていないファイルがあった場合)にエラーにしてくれます。</p>
<p>CIでWebpack等でバンドルしてる場合はこの辺を明示的に行わなくてもそこでコケるのでやってないケースもあるかもしれません。</p>
<h1 id="%E3%83%A6%E3%83%8B%E3%83%83%E3%83%88%E3%83%86%E3%82%B9%E3%83%88">
<a class="header-anchor-link" href="#%E3%83%A6%E3%83%8B%E3%83%83%E3%83%88%E3%83%86%E3%82%B9%E3%83%88" aria-hidden="true"></a> ユニットテスト</h1>
<p>これも基本かと思います。</p>
<p><a href="https://about.codecov.io/" target="_blank" rel="nofollow noopener noreferrer">Codecov</a>等を使っていればカバレッジのトラッキングやプルリクのコードがどれくらいカバレッジに影響しているか等を見ることができます。<br>
でも先日の<a href="https://about.codecov.io/security-update/" target="_blank" rel="nofollow noopener noreferrer">インシデント</a>でCodecov嫌いになってしまった人もいるかもしれません。</p>
<p>ちなみに<code>jest</code>だと<code>findRelatedTests</code>オプションを使って変更されたファイルに関するユニットテストのみ走らせることができます。<br>
<code>precommit hook</code>では<code>findRelatedTests</code>を使い、CIではカバレッジ計測のために全部走らせるといったケースが多いかと思います。</p>
<h1 id="%E8%84%86%E5%BC%B1%E3%81%AA%E3%83%91%E3%83%83%E3%82%B1%E3%83%BC%E3%82%B8%E3%82%92%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF">
<a class="header-anchor-link" href="#%E8%84%86%E5%BC%B1%E3%81%AA%E3%83%91%E3%83%83%E3%82%B1%E3%83%BC%E3%82%B8%E3%82%92%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF" aria-hidden="true"></a> 脆弱なパッケージをチェック</h1>
<p><code>npm/yarn audit</code>を使って脆弱性が存在するパッケージを使っていないかチェックします。<br>
<a href="https://dependabot.com/" target="_blank" rel="nofollow noopener noreferrer">Dependabot</a>を使っているプロジェクトは多いと思いますが、プルリクの時点でもチェックできた方が良いかと思います。<br>
CIだと以下のようにするとレベルがHIGH以上の脆弱性が含まれていた場合はエラーにしてくれます。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">/bin/bash <span class="token parameter variable">-c</span> <span class="token string">'yarn audit --groups dependencies --level high; [[ $? -ge 8 ]] &amp;&amp; exit 1 || exit 0'</span>
</code></pre></div><p>なんでこんなHackyな感じになっているのかと言うと<a href="https://github.com/yarnpkg/yarn/issues/7260" target="_blank" rel="nofollow noopener noreferrer">このIssue</a>にあるとおり<code>yarn audit</code>の戻り値の挙動のためです。</p>
<p>入れといた方が良いかなと思いますが、つい最近React界隈で有名なDan Abramov氏による<a href="https://overreacted.io/npm-audit-broken-by-design/" target="_blank" rel="nofollow noopener noreferrer">こんな記事</a>が投稿されたので見直そうかなとも思ってます。</p>
<h1 id="%E4%BD%BF%E3%82%8F%E3%82%8C%E3%81%A6%E3%81%AA%E3%81%84%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E7%AD%89%E3%81%AE%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF">
<a class="header-anchor-link" href="#%E4%BD%BF%E3%82%8F%E3%82%8C%E3%81%A6%E3%81%AA%E3%81%84%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E7%AD%89%E3%81%AE%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF" aria-hidden="true"></a> 使われてないファイル等のチェック</h1>
<p>以下のようなものを使うと使われていないファイルや変数・関数等を検知することができます。</p>
<ul>
<li><a href="https://github.com/pzavolinsky/ts-unused-exports" target="_blank" rel="nofollow noopener noreferrer">https://github.com/pzavolinsky/ts-unused-exports</a></li>
<li><a href="https://github.com/tomchentw/unused-files-webpack-plugin/" target="_blank" rel="nofollow noopener noreferrer">https://github.com/tomchentw/unused-files-webpack-plugin/</a></li>
</ul>
<p>不要なものはどんどん削除してメンテナンス性を高めていきましょう。</p>
<p>ちなみに残念ながらWebpackのは5系に非対応です。</p>
<h1 id="textlint">
<a class="header-anchor-link" href="#textlint" aria-hidden="true"></a> textlint</h1>
<p><a href="https://github.com/textlint/textlint" target="_blank" rel="nofollow noopener noreferrer">textlint</a>はテキストファイルやマークダウンファイル用のlintツールです。eslintのように様々なルールを追加することが出来ます。また、プラグインを追加することで<code>html</code>ファイル等にも対応できるようになります。</p>
<p>テキストファイルでもコード同様ある程度の一貫性を持たせたり表記の揺れを排除したりできるので非常に有用です。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">$ textlint <span class="token parameter variable">--rule</span> terminology README.md

/path/to/README.md
  <span class="token number">11</span>:21  ✓ error  Incorrect usage of the term: “markdown”, use “Markdown” instead  terminology
  <span class="token number">11</span>:50  ✓ error  Incorrect usage of the term: “repo”, use “repository” instead    terminology
  <span class="token number">13</span>:40  ✓ error  Incorrect usage of the term: “repo”, use “repository” instead    terminology
</code></pre></div><h1 id="dead-link%E3%82%92%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF">
<a class="header-anchor-link" href="#dead-link%E3%82%92%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF" aria-hidden="true"></a> Dead linkをチェック</h1>
<p><a href="https://github.com/tcort/markdown-link-check" target="_blank" rel="nofollow noopener noreferrer">markdown-link-check</a>を使ってマークダウンファイルのリンク切れを検知します。<br>
README等にリンク切れがあると新メンバー参画時等に不要なQ&amp;Aが発生したりするのでやっておくと良いのではないでしょうか。<br>
使い方は以下の通りシンプルな感じです。</p>
<div class="code-block-container"><pre><code>$ yarn add -D markdown-link-check
$ markdown-link-check ./README.md

FILE: ./README.md
[✓] https://www.example.com
[✖] https://www.exampleeeeeeeeeee.com
</code></pre></div><h1 id="typo%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF">
<a class="header-anchor-link" href="#typo%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF" aria-hidden="true"></a> Typoチェック</h1>
<p><a href="https://github.com/vlajos/misspell-fixer" target="_blank" rel="nofollow noopener noreferrer">misspell-fixer</a>を使うとコードのTypoをチェックしてくれます。</p>
<p>Typoの修正もできてコマンドラインからの使い方は以下のような感じです。</p>
<div class="code-block-container"><pre><code>./misspell-fixer -frunRVD /path/to/src
</code></pre></div><p>オプションは公式サイトをご確認ください。<br>
上記の例を簡単に説明するとバックアップ取らずに上書きするファストモードで色々レアなルールを有効にしてる感じです。</p>
<p>何も検知しなかった場合は0、検知した場合は0以外を返してくれるのでCIではそのまま実行するだけでOKです。</p>
<p>一度全部修正したコードをマージしたあとでCIでのTypoチェックをすると良いんじゃないでしょうか。</p>
<p>ちなみに弊社のコードで実行した一例はこんな感じでした。<br>
Camel Caseにもちゃんと対応していることが分かります。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/2f8359dbf4f68719e243c63c.png" alt loading="lazy" class="md-img"></p>
<p>似たようなツールでPython製の<a href="https://github.com/codespell-project/codespell" target="_blank" rel="nofollow noopener noreferrer">codespell</a>とかもあります。</p>
<h1 id="%E5%88%A9%E7%94%A8%E3%81%97%E3%81%A6%E3%81%84%E3%82%8B%E3%83%91%E3%83%83%E3%82%B1%E3%83%BC%E3%82%B8%E3%81%AElicense%E3%82%92%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF">
<a class="header-anchor-link" href="#%E5%88%A9%E7%94%A8%E3%81%97%E3%81%A6%E3%81%84%E3%82%8B%E3%83%91%E3%83%83%E3%82%B1%E3%83%BC%E3%82%B8%E3%81%AElicense%E3%82%92%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF" aria-hidden="true"></a> 利用しているパッケージのLicenseをチェック</h1>
<p>Copyleftなパッケージを使ってしまっていたりすると問題な場合等は<a href="https://github.com/davglass/license-checker" target="_blank" rel="nofollow noopener noreferrer">license-checker</a>を使ってインストールされたパッケージのライセンスをチェックすることができます。</p>
<p>普通にシンプルにインストールして走らせるだけで使えます。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash"><span class="token function">yarn</span> <span class="token function">add</span> <span class="token parameter variable">-D</span> license-checker
license-checker
</code></pre></div><p>オプションとして<code>--production</code>を付けると<code>dependencies</code>のみを対象としてくれます。またCIでは<code>--onlyAllow</code>もしくは<code>--failOn</code>を使って許可したいもしくは禁止したいライセンスのリストを渡すとそれ以外のライセンスのdependencyがあった場合にエラーに出来ます。<br>
ただし残念ながらCopyleftなもの全部みたいな指定はできません。</p>
<h1 id="accessibility%E3%82%92%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF">
<a class="header-anchor-link" href="#accessibility%E3%82%92%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF" aria-hidden="true"></a> Accessibilityをチェック</h1>
<p>アクセシビリティのチェックは<a href="https://github.com/dequelabs/axe-core" target="_blank" rel="nofollow noopener noreferrer">axe-core</a>を使っているところが多いと思います。</p>
<p><a href="https://github.com/chanzuckerberg/axe-storybook-testing" target="_blank" rel="nofollow noopener noreferrer">axe-storybook-testing</a>を使うとStorybookに対するチェックが簡単に出来て便利です。<br>
(ちなみにチャン・ザッカーバーグ・イニシアティブ製です。こんなの作ってるんですね。)</p>
<p>実行すると成功したものと失敗したものを表示してくれます。以下スクリーンショットの一部ですがfailが多すぎますねｗ</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/f582553fe94bc94dea746078.png" alt loading="lazy" class="md-img"></p>
<p>ちなみにがっつりやるなら恐らくaxe-coreを作っている<a href="https://www.deque.com/" target="_blank" rel="nofollow noopener noreferrer">Deque</a>を使うのかと思いますが、残念ながら今の所利用経験はありません。</p>
<h1 id="%E3%83%90%E3%83%B3%E3%83%89%E3%83%AB%E3%82%B5%E3%82%A4%E3%82%BA%E3%81%AE%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF">
<a class="header-anchor-link" href="#%E3%83%90%E3%83%B3%E3%83%89%E3%83%AB%E3%82%B5%E3%82%A4%E3%82%BA%E3%81%AE%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF" aria-hidden="true"></a> バンドルサイズのチェック</h1>
<p>Webpackでバンドルしたもののサイズチェックには<a href="https://github.com/bundlewatch/bundlewatch" target="_blank" rel="nofollow noopener noreferrer">bundlewatch</a>が使えます。</p>
<p>それぞれのchunkが指定したサイズ以上であればCIでエラーにするといったことができます。</p>
<p>CIで毎回バンドリングするのは時間がかかるので、<code>package.json</code>に変更があったときと変更されたコードのサイズが大きかったときだけとかにするのも良いかと思います。</p>
<p>より詳細にサイズの内訳を見たい場合は<a href="https://github.com/webpack-contrib/webpack-bundle-analyzer" target="_blank" rel="nofollow noopener noreferrer">webpack-bundle-analyzer</a>を使うと良いです。<br>
レポートがhtmlなのでどこかにホストしておけばチームでの共有も楽です。</p>
<h1 id="danger-js%E3%81%A7%E8%89%B2%E3%80%85%E3%81%AA%E9%A0%85%E7%9B%AE%E3%82%92%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF">
<a class="header-anchor-link" href="#danger-js%E3%81%A7%E8%89%B2%E3%80%85%E3%81%AA%E9%A0%85%E7%9B%AE%E3%82%92%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF" aria-hidden="true"></a> danger-jsで色々な項目をチェック</h1>
<p><a href="https://danger.systems/js/" target="_blank" rel="nofollow noopener noreferrer">danger-js</a>を使うとプルリクがIssueに紐付いているか、コメントが適切なフォーマットに従っているか、プルリクのサイズが既定値を超えていないか、といった様々なチェックを行うことができます。プロジェクトに合わせたカスタマイズも容易で公式サイトに便利な例が色々載っているので是非ご覧ください。</p>
<h1 id="static-code-analysis">
<a class="header-anchor-link" href="#static-code-analysis" aria-hidden="true"></a> Static Code Analysis</h1>
<p>eslintが静的コード解析的な側面も持っていますが補完する形で別のツールを使うことも多いかと思います。</p>
<p>ライトにやるならコマンドラインから簡単に実行できる<a href="https://github.com/returntocorp/semgrep" target="_blank" rel="nofollow noopener noreferrer">semgrep</a>、がっつりやるならUIもついてくる<a href="https://www.sonarqube.org/" target="_blank" rel="nofollow noopener noreferrer">SonarQube</a>が良いと思います。<br>
どちらもTypeScript以外の言語にも対応しています。</p>
<p><code>semgrep</code>は<a href="https://semgrep.dev/explore" target="_blank" rel="nofollow noopener noreferrer">ここ</a>からルールセットを探すことができ、<a href="https://semgrep.dev/p/react" target="_blank" rel="nofollow noopener noreferrer">React用のルールセット</a>等様々なものがあります。</p>
<p>まだEarly Accessですが<a href="https://www.jetbrains.com/qodana/" target="_blank" rel="nofollow noopener noreferrer">JetBrainsのQodana</a>も良さそうです。</p>
<p>ちなみにOWASPのサイトには静的コード解析ツールのリストがあるのでこちらを参考に探してみると良いかもしれません。</p>
<ul>
<li><a href="https://owasp.org/www-community/Source_Code_Analysis_Tools" target="_blank" rel="nofollow noopener noreferrer">https://owasp.org/www-community/Source_Code_Analysis_Tools</a></li>
</ul>
<h1 id="%E3%83%97%E3%83%AB%E3%83%AA%E3%82%AF%E3%81%94%E3%81%A8%E3%81%AB%E3%83%A6%E3%83%8B%E3%83%BC%E3%82%AF%E3%81%AA%E7%92%B0%E5%A2%83%E3%81%AB%E3%83%87%E3%83%97%E3%83%AD%E3%82%A4">
<a class="header-anchor-link" href="#%E3%83%97%E3%83%AB%E3%83%AA%E3%82%AF%E3%81%94%E3%81%A8%E3%81%AB%E3%83%A6%E3%83%8B%E3%83%BC%E3%82%AF%E3%81%AA%E7%92%B0%E5%A2%83%E3%81%AB%E3%83%87%E3%83%97%E3%83%AD%E3%82%A4" aria-hidden="true"></a> プルリクごとにユニークな環境にデプロイ</h1>
<p>フロントエンドのプロジェクトだと<a href="https://www.netlify.com/" target="_blank" rel="nofollow noopener noreferrer">Netlify</a>等を使っていれば簡単にプルリクごとにユニークなURLでプレビュー版のデプロイができるので、マージ前の動作確認やテストが楽です。</p>
<p>バックエンドをプルリクごとにデプロイする場合は、実際に本番環境と同じような構成でデプロイしてしまってマネージドサービスは開発環境共通のものに繋ぐパターンか、マネージドサービスは<a href="https://github.com/localstack/localstack" target="_blank" rel="nofollow noopener noreferrer">localstack</a>的なものでモックして全部コンテナに詰めてデプロイするパターンのいずれかが一般的かと思います。</p>
<h1 id="%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88%E7%94%9F%E6%88%90">
<a class="header-anchor-link" href="#%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88%E7%94%9F%E6%88%90" aria-hidden="true"></a> ドキュメント生成</h1>
<p>デプロイプレビューがあるサービスを使っている場合以外はマージされたときのみですが、またCIよりCD寄りかもしれませんが、<a href="https://github.com/TypeStrong/typedoc" target="_blank" rel="nofollow noopener noreferrer">typedoc</a>等でドキュメント生成してどこかにホストしておくとチーム間で簡単に共有できて便利です。<br>
typedocは公式のデモが<a href="https://typedoc.org/api/" target="_blank" rel="nofollow noopener noreferrer">ここ</a>にあります。</p>
<p>あとはテストレポートの生成・デプロイや、フロントエンドのプロジェクトだと<a href="https://storybook.js.org/" target="_blank" rel="nofollow noopener noreferrer">Storybook</a>の生成・デプロイも同じタイミングでやるのが良いかと思います。</p>
<h1 id="%E6%9C%80%E5%BE%8C%E3%81%AB">
<a class="header-anchor-link" href="#%E6%9C%80%E5%BE%8C%E3%81%AB" aria-hidden="true"></a> 最後に</h1>
<p>ということでTypeScriptのCIでやっていることを色々と紹介してみました。<br>
随時更新する予定です。他にもこれはやったほうが良いみたいのがあれば教えてください。</p>
<p>Happy DevOpsing!</p>


TypeScriptプロジェクトのCIでやってること

使われてないファイル等のチェック

利用しているパッケージのLicenseをチェック

danger-jsで色々な項目をチェック

プルリクごとにユニークな環境にデプロイ

Discussion