<a href="https://adventar.org/calendars/6612" target="_blank" rel="nofollow noopener noreferrer"><img src="https://storage.googleapis.com/zenn-user-upload/4525cf8042a7-20211203.jpg" alt loading="lazy" class="md-img"></a>
これは<a href="https://adventar.org/calendars/6612" target="_blank" rel="nofollow noopener noreferrer">ストックマーク Advent Calendar</a>の4日目の記事です。
ストックマークではdonguri-uiと呼ばれるデザインシステムやそれを元にしたコンポーネントライブラリを運用していて、複数プロダクトで使用されています。デザインシステムやライブラリ自体を社外に公開する企業も増えていますが、ストックマークでは現在公開せず運用しています。 
このような公開していないケースでは、通常npmで公開されたものとは違う手法でインストールする必要があります。その一つとして<a href="https://github.com/features/packages" target="_blank" rel="nofollow noopener noreferrer">Github Packages</a>を使用する方法があり、今年それを導入して管理するようにしたのでその話を紹介します。
<h1 id="%E8%83%8C%E6%99%AF">
<a class="header-anchor-link" href="#%E8%83%8C%E6%99%AF" aria-hidden="true"></a> 背景</h1>
Github Packagesを使用する前は、社内の共有アカウントとそのパスワードによるbasic認証によって、プライベートリポジトリを直接 <code>npm install</code> していました。次のような設定が実際に使われていました。
<div class="code-block-container">
<div class="code-block-filename-container">package.json</div>
<pre class="language-json"><code class="language-json">"donguri-ui": "git+https://&lt;共用アカウントID&gt;:&lt;パスワード&gt;@github.com/stockmarkteam/donguri-ui.git#master"
</code></pre>
</div>この方法は、<a href="https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/" target="_blank" rel="nofollow noopener noreferrer">Githubのセキュリティ変更</a> (2021/8/13以降パスワード認証でリポジトリを参照することができなくなる) により使用できなくなるため、別の方法に変えなければならない状態でした。(参考までに、この対応は8/13より前に行いました) 
他にも、git管理下のソースコードにパスワードやトークンをハードコードしていることや、semantic versioningが採用できていないために使用する側でバージョンを指定するのが手間でなかなか最新版が使われないという問題もありました。 
上記のような問題の解決策として今回Github Packagesを導入しました。
<h1 id="%E5%AF%BE%E5%BF%9C%E5%86%85%E5%AE%B9">
<a class="header-anchor-link" href="#%E5%AF%BE%E5%BF%9C%E5%86%85%E5%AE%B9" aria-hidden="true"></a> 対応内容</h1>
ここでは実際やったことを紹介します。
<h2 id="%E3%83%A9%E3%82%A4%E3%83%96%E3%83%A9%E3%83%AA%E5%81%B4%E3%81%A7%E3%81%AE%E4%BF%AE%E6%AD%A3">
<a class="header-anchor-link" href="#%E3%83%A9%E3%82%A4%E3%83%96%E3%83%A9%E3%83%AA%E5%81%B4%E3%81%A7%E3%81%AE%E4%BF%AE%E6%AD%A3" aria-hidden="true"></a> ライブラリ側での修正</h2>
Github PackagesではScoped package (<code>@babel/env</code> などのように<code>@</code>から<code>/</code>の間にスコープ名を含めたパッケージ名) のみをサポートしているのでpackage.jsonの <code>name</code> をScopedに変更する必要があります。
<div class="code-block-container">
<div class="code-block-filename-container">package.json</div>
<pre class="diff-highlight language-diff-json"><code class="diff-highlight language-diff-json">- "name": "donguri-ui",
+ "name": "@stockmarkteam/donguri-ui",
</code></pre>
</div>同じくpackage.jsonに <code>npm publish</code> するための設定を追加します。このとき、<code>"access": "restricted"</code>を設定しないとパッケージは公開されてしまう（誰でもインストールできてしまう）ので、非公開にしたい場合はこの設定が必要です。
<div class="code-block-container">
<div class="code-block-filename-container">package.json</div>
<pre class="diff-highlight language-diff-json"><code class="diff-highlight language-diff-json">+ "publishConfig": {
+ "access": "restricted",
+ "registry": "https://npm.pkg.github.com/"
+ },
</code></pre>
</div>最後に、Github ActionsでGithub Packagesへpublishするよう設定します。今回はGithubのGUI上でリリースを作成した時にこのCIが走るようにしています。
<div class="code-block-container"><pre class="language-yml"><code class="language-yml">name: donguri-ui をGPRへリリースする

on:
 release:
 types: [created]

jobs:
 publish-gpr:
 needs: build
 runs-on: ubuntu-latest
 permissions:
 packages: write
 contents: read
 steps:
 - uses: actions/checkout@v2
 - uses: actions/setup-node@v1
 with:
 node-version: 12
 registry-url: https://npm.pkg.github.com/
 - (省略)
 - run: npm publish
 env:
 NODE_AUTH_TOKEN: ${{secrets.GITHUB_TOKEN}}
</code></pre></div>実際にはこのCIの中でビルド処理を行なっていますがその内容は今回省略します。
以上の対応により、Github Packagesで社内向けにライブラリを公開することができました。次にそれを使用する各プロダクト側で行った修正を紹介します。
<h2 id="%E4%BD%BF%E7%94%A8%E3%81%99%E3%82%8B%E5%90%84%E3%83%97%E3%83%AD%E3%83%80%E3%82%AF%E3%83%88%E3%81%AE%E4%BF%AE%E6%AD%A3">
<a class="header-anchor-link" href="#%E4%BD%BF%E7%94%A8%E3%81%99%E3%82%8B%E5%90%84%E3%83%97%E3%83%AD%E3%83%80%E3%82%AF%E3%83%88%E3%81%AE%E4%BF%AE%E6%AD%A3" aria-hidden="true"></a> 使用する各プロダクトの修正</h2>
<code>npm</code>コマンドを実行するディレクトリに<code>.npmrc</code>ファイルを作り、次の内容を追加します。
<div class="code-block-container">
<div class="code-block-filename-container">.npmrc</div>
<pre class="language-shell"><code class="language-shell">//npm.pkg.github.com/:_authToken=${GITHUB_READ_PACKAGES_TOKEN}
@stockmarkteam:registry="https://npm.pkg.github.com"
</code></pre>
</div>一行目の<code>GITHUB_READ_PACKAGES_TOKEN</code>にはプライベートなパッケージにアクセスするためのトークンを環境変数で渡しています。 
この値はGithubの設定画面で開発者各自が自身のアカウントで作成したものを、各々の開発環境に設定してもらっています。このとき、トークンの権限は <code>read:packages</code> のみにすることで、もしトークンが流出した場合でも被害を最小限に絞ることができます。
また、ライブラリ側でパッケージ名を変更したので、package.jsonやインポートしているファイルでもパッケージ名を変える必要があります。
<div class="code-block-container">
<div class="code-block-filename-container">package.json</div>
<pre class="diff-highlight language-diff-json"><code class="diff-highlight language-diff-json">- "donguri-ui": "git+https://&lt;共用アカウントID&gt;:&lt;パスワード&gt;@github.com/stockmarkteam/donguri-ui.git#master",
+ "@stockmarkteam/donguri-ui": "1.0.0",
</code></pre>
</div><div class="code-block-container">
<div class="code-block-filename-container">index.ts</div>
<pre class="diff-highlight language-diff-ts"><code class="diff-highlight language-diff-ts">- import DonguriUI from 'donguri-ui';
+ import DonguriUI from '@stockmarkteam/donguri-ui';
</code></pre>
</div><h1 id="github-packages%E3%81%AB%E5%A4%89%E3%81%88%E3%81%A6%E3%81%BF%E3%81%A6">
<a class="header-anchor-link" href="#github-packages%E3%81%AB%E5%A4%89%E3%81%88%E3%81%A6%E3%81%BF%E3%81%A6" aria-hidden="true"></a> Github Packagesに変えてみて</h1>
実際に変えて運用した結果、次のような利点がありました。
<ul>
<li>
<code>npm update</code>で使用するライブラリのバージョンを上げれるようになり、最新版を使うハードルが下がった</li>
<li>masterブランチへpushするときにビルド結果も含める必要があったが、publish前にCIでビルドを行うようにフローを変更したためビルド結果が不要になった</li>
<li>Githubアカウントとライブラリへのアクセス権を紐づけることができたので、メンバーが変わったとき時などの権限管理が楽になった</li>
<li>(副次的な効果として)ライブラリ管理の方法が属人化していたが、今回フローを更新し改めてエンジニアに共有したことで、ライブラリへコミットするメンバーが増えた</li>
</ul>
CI設定など開発フロー自体にはまだまだ改善の余地があるので、引き続きより良い方法を模索していきたいと考えています。 
また、Github PackagesはNode.jsのパッケージ以外にも適用可能なので、今後社内ライブラリを作成する時にも使っていくことができます。
注意点として、Github Packagesをプライベートリポジトリで使う場合、Github Actions以外への転送量によって課金されます。そのため他のCIサービスを使用している場合は料金が発生する場合があります。
<h1 id="%E6%9C%80%E5%BE%8C%E3%81%AB">
<a class="header-anchor-link" href="#%E6%9C%80%E5%BE%8C%E3%81%AB" aria-hidden="true"></a> 最後に</h1>
本稿で紹介した改善をするにあたって、<a href="https://docs.github.com/en/packages/working-with-a-github-packages-registry/working-with-the-npm-registry" target="_blank" rel="nofollow noopener noreferrer">公式ドキュメント</a>の他に、PLAIDさんの<a href="https://tech.plaid.co.jp/npm-private-registry-to-github-packages-registry/" target="_blank" rel="nofollow noopener noreferrer">npmのprivate registryからGitHub Packages Registryに移行する</a>記事を参考にさせていただきました。npm private registryとGithub Packagesの比較もまとまっているので気になる方はそちらも参照ください。

Github Packagesで非公開のライブラリを社内展開する

Discussion