在dependency-cruiser中处理monorepo中的devDependencies与dependencies冲突问题

问题背景

在monorepo项目中，我们经常会遇到一个典型场景：某些依赖包既需要在根目录的devDependencies中声明（用于构建工具或配置），又需要在子包的dependencies中声明（作为运行时依赖）。这种双重声明会导致dependency-cruiser的not-dev-dep规则误报。

具体案例

假设我们有一个monorepo项目结构如下：

• 根目录package.json：

{
  "devDependencies": {
    "foo": "1.0.0"
  },
  "overrides": {
    "foo": "$foo"
  }
}

• packages/floof/package.json：

{
  "dependencies": {"foo": "1.0.0"}
}

当启用combinedDependencies选项时，dependency-cruiser会将所有工作区的依赖合并分析。此时foo同时出现在devDependencies和dependencies中，触发not-dev-dep规则报错。

解决方案

通过调整dependency-cruiser配置中的dependencyTypesNot数组，可以解决这个问题。具体做法是在not-to-dev-dep规则中添加npm类型：

{
  "name": "not-to-dev-dep",
  "severity": "error",
  "from": {
    "pathNot": ["^test/", "^tools/"]
  },
  "to": {
    "dependencyTypes": ["npm-dev"],
    "exoticallyRequired": false,
    "dependencyTypesNot": [
      "type-only",
      "type-import",
      "triple-slash-type-reference",
      "npm-peer",
      "npm"  // 新增这一行
    ],
    "pathNot": ["node_modules/@types/"]
  }
}

技术原理

1. dependencyTypes定义了规则检查的依赖类型，这里设置为npm-dev表示只检查开发依赖。

2. dependencyTypesNot定义了例外情况，新增的npm表示如果一个依赖同时是生产依赖（在dependencies中声明），则忽略该规则的检查。

3. 这种配置确保了：

   • 如果一个包只在devDependencies中声明，但在代码中被引用，会触发警告
   • 如果一个包同时在devDependencies和dependencies中声明，不会触发警告
   • 如果一个包没有在任何地方声明，会触发警告

最佳实践建议

1. 对于monorepo项目，建议始终启用combinedDependencies选项，以获得完整的依赖关系视图。

2. 对于需要在根目录和子包中同时声明的依赖，可以考虑：

   • 在根目录使用peerDependencies
   • 使用workspace协议（如workspace:*）
   • 采用上述配置方案

3. 定期检查依赖关系，确保没有冗余的依赖声明。

通过这种配置方式，我们既保持了依赖关系的严格检查，又适应了monorepo项目的特殊需求，实现了开发效率和代码质量的平衡。