Npm dobija konkurenciju — Facebook izbacio svoj package manager koji je "brži, bolji i bezbedniji"

Yarn je menadžer paketa za JavaScript koji je Facebook objavio juče, a ceo projekat možete pogledati ovde.

Facebook je u saradnji sa Exponentom, Google-om i Tilde-om napravio package manager koji bi trebalo da poboljša iskustvo pri razvoju JavaScript aplikacija. Kao glavne prednosti ovog sistema autori navode brzinu, pouzdanost i bezbednost.

Brže, bolje, jače

Brzina Yarna dolazi iz činjenice da se svi preuzeti paketi keširaju, tako da pri njihovoj ponovnoj instalaciji nije potrebno ponovno preuzimanje.

Instalacije na različitim sistemima rade isto zahvaljujući determinističkom algoritmu, a integritet svakog paketa provera se pre njegovog izvršenja uz pomoć checksuma.

Kreatori Yarna ističu i offline mod, odlične performanse na mreži kao i pristup većem broju registara, uključujući npm i Bower.

Takođe, jedna od bitnih stvari u vezi sa Yarn-om je njegova licenca. Facebook se odlučio da Yarn objavi pod BSD licencom, ali za razliku od Reactove, Yarnova licenca neće imati posebnu klauzulu o patentu, koja Facebooku omogućava da vam, ukoliko ste mu konkurencija, ukine pravo na korišćenje Reacta.

Sveprisutni npm

Node package manager, popularni npm, elementarni je alat svakog ozbiljnog JavaScript programera. Na njemu se mesečno izvrši preko 3 milijarde preuzimanja i on developerima služi za importovanje iz registra u kojem ima preko 300.000 paketa JavaScripta, rešava probleme sa dependency-ima.

Ipak, npm ima mnoge probleme, i pored toga što je glavni package manager tolikom broju developera. To je i bila jedna od najvećih motivacija ljudima iz Facebooka da naprave Yarn — kako kažu bezbedniju, pouzdaniju i uopšte bolju alternativu.

Jasno je da je namera Facebooka da Yarnom ugrozi npm, jer su u pitanju softveri sa potpuno istom namenom. Iz Facebooka računaju na probleme koje npm ima, i upravo naglašavaju Yarnovu superiornost na poljima pouzdanosti i bezbednosti.

Npm-ovi problemi su poznati odavno. Prvo što pada na pamet je leftpad skandal sa početka ove godine, koji nas je podsetio da popularni alat u koji se mnogi uzdaju nije toliko bezbedan. Aplikacije mnogih velikih kompanija koje koriste npm bile su ugrožene jer je jedan ljutiti developer obrisao svoj paket, od svega je 11 linija koda.

Iako je problem veoma brzo rešen, ostalo je pitanje šta bi se desilo da je neko sa malo opasnijom namerom odlučio da obriše pakete — neko ko nije samo developer ogorčen zbog zaštićenog imena “Kik”.

Zajednica će presuditi

Kao i velikom broju drugih tehnoloških inovacija, Yarnu će presuditi zajednica.

Yarnov najveći problem je sveprisutnost npm-a, i preveliki broj projekata koji zavise od njega. npm je industrijski standard, i za uvođenje promena na takvom polju potrebno je vreme.

Developer npm-a mogli bi da reaktivno dodaju mogućnosti Yarna u npm, i tako ubiju bilo čiju potrebu da koristi Yarn umesto npm-a. Veliko je pitanje kakvu bi jedinstvenu ponudu Yarn mogao da napravi da izbacio npm iz igre.

Sigurno je da će Yarnu bar neki broj developera dati šansu, ali kako tačno planira da uzme veći deo npm-ovog kolača još nije jasno.