<p>この記事は <a href="https://qiita.com/advent-calendar/2020/clojure" target="_blank" rel="nofollow noopener noreferrer">Clojure Advent Calendar 2020</a> の8日目の穴埋めに向けたものです。</p>
<h1 id="tl%3Bdr">
<a class="header-anchor-link" href="#tl%3Bdr" aria-hidden="true"></a> TL;DR</h1>
<ul>
<li>Clojure 向けに <a href="https://github.com/liquidz/antq" target="_blank" rel="nofollow noopener noreferrer">antq</a> という古い依存ライブラリなどを検知するツールを作ったよ</li>
<li>ライブラリに限らず GitHub Actions の YAML もチェックするよ</li>
</ul>
<h1 id="%E3%81%93%E3%82%8C%E3%81%BE%E3%81%A7%E3%81%AE%E5%8F%A4%E3%81%84%E4%BE%9D%E5%AD%98%E3%83%A9%E3%82%A4%E3%83%96%E3%83%A9%E3%83%AA%E6%A4%9C%E7%9F%A5%E3%83%84%E3%83%BC%E3%83%AB">
<a class="header-anchor-link" href="#%E3%81%93%E3%82%8C%E3%81%BE%E3%81%A7%E3%81%AE%E5%8F%A4%E3%81%84%E4%BE%9D%E5%AD%98%E3%83%A9%E3%82%A4%E3%83%96%E3%83%A9%E3%83%AA%E6%A4%9C%E7%9F%A5%E3%83%84%E3%83%BC%E3%83%AB" aria-hidden="true"></a> これまでの古い依存ライブラリ検知ツール</h1>
<p>Clojure にはプロジェクトが依存しているライブラリで古いものがあれば教えてくれるツール類が昔からあります。</p>
<p>おそらく一番有名なものでは <a href="https://leiningen.org" target="_blank" rel="nofollow noopener noreferrer">Leiningen</a> 向けのプラグインとして <a href="https://github.com/xsc/lein-ancient" target="_blank" rel="nofollow noopener noreferrer">xsc/lein-ancient</a> があり、<br>
<a href="https://boot-clj.com" target="_blank" rel="nofollow noopener noreferrer">Boot</a> 向けの <a href="https://github.com/martinklepsch/boot-deps" target="_blank" rel="nofollow noopener noreferrer">martinklepsch/boot-deps</a>、<a href="https://clojure.org/guides/deps_and_cli" target="_blank" rel="nofollow noopener noreferrer">Clojure CLI</a> 向けの <a href="https://github.com/Olical/depot" target="_blank" rel="nofollow noopener noreferrer">Olical/depot</a> というように基本的に検知用のツールは出揃っている状況です。</p>
<p>なのでこれらのツールを使えば現時点でも基本的には困らないというのが正直なところです。</p>
<h1 id="antq">
<a class="header-anchor-link" href="#antq" aria-hidden="true"></a> antq</h1>
<p>そんな中、新たに古い依存ライブラリを検知するためのツールを作りました。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__3366ca915204c" src="https://embed.zenn.studio/card#zenn-embedded__3366ca915204c" data-content="https%3A%2F%2Fgithub.com%2Fliquidz%2Fantq" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/liquidz/antq" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/liquidz/antq</a></p>
<p>なぜツール類が出揃っているこの状況で新しいツールを作ったのかというと、以下の理由が大きなところです。</p>
<ul>
<li>shadow-cljs.edn 向けのツールが無さそうだった</li>
<li>1つのプロジェクト内で Leiningen / shadow-cljs など複数のツールをターゲットとしたファイルが共存している場合でも一括でチェックしたかった</li>
<li>GitHub Actions でスムーズに使いたかった</li>
</ul>
<p>そんな理由から現状 antq は以下のファイルに対応しています。</p>
<ul>
<li>deps.edn (<a href="https://clojure.org/guides/deps_and_cli" target="_blank" rel="nofollow noopener noreferrer">Clojure CLI</a>)</li>
<li>shadow-cljs.edn (<a href="http://shadow-cljs.org" target="_blank" rel="nofollow noopener noreferrer">Shadow-cljs</a>)</li>
<li>project.clj (<a href="https://leiningen.org" target="_blank" rel="nofollow noopener noreferrer">Leiningen</a>)</li>
<li>build.boot (<a href="https://boot-clj.com" target="_blank" rel="nofollow noopener noreferrer">Boot</a>)</li>
<li>pom.xml (<a href="https://maven.apache.org" target="_blank" rel="nofollow noopener noreferrer">Maven</a>)</li>
<li>.github/workflows/**.yml (<a href="https://github.com/features/actions" target="_blank" rel="nofollow noopener noreferrer">GitHub Actions</a>)</li>
</ul>
<p>Clojure 関連のプロジェクトファイルはおそらく網羅できていると思います。<br>
唯一異端に見える GitHub Actions の YAML については、Clojure プロジェクトの CI を GitHub Actions でやっていく中で、使っている Action のバージョンアップも検知したいという個人的要望から対応されています。</p>
<h1 id="%E4%BD%BF%E3%81%84%E6%96%B9">
<a class="header-anchor-link" href="#%E4%BD%BF%E3%81%84%E6%96%B9" aria-hidden="true"></a> 使い方</h1>
<p>簡単なのは Docker、もしくは Clojure CLI を使う方法です。<br>
以下のコマンドを任意のプロジェクトのルートディレクトリで実行すれば、直下にある各種ファイルを読み込んで古くなっている依存関係を洗い出してくれます。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token comment">## Docker を使う場合</span>
$ <span class="token function">docker</span> run <span class="token parameter variable">--rm</span> <span class="token parameter variable">-v</span> <span class="token variable"><span class="token variable">$(</span><span class="token builtin class-name">pwd</span><span class="token variable">)</span></span>:/src <span class="token parameter variable">-w</span> /src uochan/antq:latest

<span class="token comment">## Clojure CLI を使う場合</span>
$ clojure <span class="token parameter variable">-Sdeps</span> <span class="token string">'{:deps {antq/antq {:mvn/version "RELEASE"}}}'</span> <span class="token parameter variable">-M</span> <span class="token parameter variable">-m</span> antq.core
</code></pre></div><p>出力例は以下の通りです。</p>
<div class="code-block-container"><pre><code>|    :file |         :name | :version | :latest-version |
|----------+---------------+----------+-----------------|
| deps.edn |     merr/merr |    0.3.0 |           0.3.1 |
|          | metosin/malli |  a7f5664 |         4c854a2 |
</code></pre></div><p>もし <a href="https://github.com/jcrossley3/lein-modules" target="_blank" rel="nofollow noopener noreferrer">lein-modules</a> のようなプラグインを使ったマルチモジュールなプロジェクトの場合は <code>--directory</code> オプションを使うことで、カレントディレクトリ直下以外のディレクトリも対象とできます。</p>
<div class="code-block-container"><pre><code>$ clojure -Sdeps '{:deps {antq/antq {:mvn/version "RELEASE"}}}' -M -m antq.core \
    --directory path1 --directory path2
</code></pre></div><p>なお project.clj や deps.edn 内に antq への依存関係を記載して、プロジェクトの一部として antq を実行する方法も勿論あり、それらは <a href="https://github.com/liquidz/antq#usage" target="_blank" rel="nofollow noopener noreferrer">README の Usage</a> にまとめてあるので必要に応じて参照していただければと思います。</p>
<p>ちなみに作者としては uberjar したものに <code>java -jar /path/to/antq-standalone.jar</code> のようなエイリアスを貼って <code>antq</code> コマンドで実行できるようにしています。<br>
これだとカレントディレクトリ直下にあるプロジェクトファイルの影響を受けずにチェックできる(例えば存在しないバージョン番号を適当に入力して最新バージョンを知りたい場合など)ので何かと便利です。</p>
<h2 id="%E4%BE%9D%E5%AD%98%E3%83%A9%E3%82%A4%E3%83%96%E3%83%A9%E3%83%AA%E3%81%AE%E6%9B%B4%E6%96%B0">
<a class="header-anchor-link" href="#%E4%BE%9D%E5%AD%98%E3%83%A9%E3%82%A4%E3%83%96%E3%83%A9%E3%83%AA%E3%81%AE%E6%9B%B4%E6%96%B0" aria-hidden="true"></a> 依存ライブラリの更新</h2>
<p>既存のツール類でも対応しているものは多いので目新しさはないですが、antq は古い依存ライブラリのチェックに限らず <strong>更新</strong> にも対応しています。</p>
<p>実行時に <a href="https://github.com/liquidz/antq#--upgrade" target="_blank" rel="nofollow noopener noreferrer">--upgrade</a> オプションをつけることで、古い依存ライブラリがあった場合にプロジェクトファイル内のバージョン番号の記載を自動的に最新のバージョン番号に更新できます。</p>
<p>デフォルトでは以下のように古い依存関係毎に更新して良いかの確認が入ります。<br>
なお全部を無条件で更新することはまず無いとは思いますが、 <code>--force</code> オプションで確認は省略できます。<br>
<code>--focus</code> オプションを使うとチェックするライブラリを限定できるので、 <code>--focus</code> と <code>--force</code> を併用することで特定ライブラリのバージョン更新は楽かもしれません。</p>
<div class="code-block-container"><pre><code>$ cat deps.edn
{:paths ["src"]
 :deps {org.clojure/clojure {:mvn/version "1.10.1"}
        merr/merr {:mvn/version "0.3.0"}
        metosin/malli {:git/url "https://github.com/metosin/malli"
                       :sha "a7f5664"}}}

$ antq --upgrade

|    :file |         :name | :version | :latest-version |
|----------+---------------+----------+-----------------|
| deps.edn |     merr/merr |    0.3.0 |           0.3.1 |
|          | metosin/malli |  a7f5664 |         4c854a2 |
Do you upgrade merr/merr '0.3.0' to '0.3.1' in deps.edn (y/n): y
Upgraded merr/merr '0.3.0' to '0.3.1' in deps.edn.
Do you upgrade metosin/malli 'a7f5664' to '4c854a283697fbc22856145e514be7c2b1853edf' in deps.edn (y/n): y
Upgraded metosin/malli 'a7f5664' to '4c854a283697fbc22856145e514be7c2b1853edf' in deps.edn.

$ cat deps.edn
{:paths ["src"]
 :deps {org.clojure/clojure {:mvn/version "1.10.1"}
        merr/merr {:mvn/version "0.3.1"}
        metosin/malli {:git/url "https://github.com/metosin/malli"
                       :sha "4c854a283697fbc22856145e514be7c2b1853edf"}}}
</code></pre></div><p>なお README にも注意書きしてありますが、現状 <code>--upgrade</code> option は GitHub Actions の YAML には対応していません。<br>
これは Clojure で利用できる YAML パーサーが元々の構成(例えばコメントを残しつつとか)を保持したままの値の変更に対応していないのが主な原因です。<br>
このあたりは何か解決策を探して対処したいなとは思っています。</p>
<h2 id="github-actions">
<a class="header-anchor-link" href="#github-actions" aria-hidden="true"></a> GitHub Actions</h2>
<p>antq を作った目的の1つに GitHub Actions での利用がありました。<br>
というのも今まで古い依存関係のチェックは <a href="https://versions.deps.co" target="_blank" rel="nofollow noopener noreferrer">Deps Versions</a> を使っていたのですが、これは deps.edn の依存関係のチェックをしてくれないという問題があったので、これを antq + GitHub Actions(スケジュール) に置き換えたいという目論見が元になっています。</p>
<p>antq では簡単に使えるよう Marketplace に Action を公開しています。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__fe6b66cd81971" src="https://embed.zenn.studio/card#zenn-embedded__fe6b66cd81971" data-content="https%3A%2F%2Fgithub.com%2Fmarketplace%2Factions%2Fantq-action" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/marketplace/actions/antq-action" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/marketplace/actions/antq-action</a></p>
<p>中身は単に uberjar したものを含む Docker イメージを使って antq を実行しているだけですが、出力フォーマットを GitHub Actions 向けに最適化しているため、以下のように Annotations に古い依存関係を表示できるようになっています。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/cuyktmwohs4yu970s3ml6pypkhqd" alt loading="lazy" class="md-img"></p>
<p>具体的な workflow については以下を antq 自体の workflow を参照してください。(antq は antq で古い依存関係のチェックを行っています！)</p>
<p><span class="embed-block zenn-embedded zenn-embedded-github"><iframe id="zenn-embedded__93c896bd8ab8b" src="https://embed.zenn.studio/github#zenn-embedded__93c896bd8ab8b" data-content="https%3A%2F%2Fgithub.com%2Fliquidz%2Fantq%2Fblob%2Fmaster%2F.github%2Fworkflows%2Fdependencies.yml" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/liquidz/antq/blob/master/.github/workflows/dependencies.yml" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/liquidz/antq/blob/master/.github/workflows/dependencies.yml</a></p>
<h1 id="%E6%9C%80%E5%BE%8C%E3%81%AB">
<a class="header-anchor-link" href="#%E6%9C%80%E5%BE%8C%E3%81%AB" aria-hidden="true"></a> 最後に</h1>
<p>後発のツールなので知名度はまだまだ低いですが、最近では <a href="https://www.clojuriststogether.org" target="_blank" rel="nofollow noopener noreferrer">Clojurists Together</a> の支援を受けた <a href="https://practicalli.github.io" target="_blank" rel="nofollow noopener noreferrer">Practicalli</a> で提供されている deps.edn にも採用してもらえたりと少しずつ使われ始めている気配があります。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__0f55a2c5ecc88" src="https://embed.zenn.studio/card#zenn-embedded__0f55a2c5ecc88" data-content="https%3A%2F%2Fgithub.com%2Fpracticalli%2Fclojure-deps-edn%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/practicalli/clojure-deps-edn/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/practicalli/clojure-deps-edn/</a></p>
<p>作者個人としても便利に使えているので、もっとたくさんの方に使っていただきたくさんのフィードバックがもらえると嬉しいなと思っています！</p>


古い依存関係をチェックするツールを作った話

これまでの古い依存ライブラリ検知ツール

Discussion