整理: requirements-license.txt を廃止
#1281
Conversation
|
完全な一長一短になっており、判断ができないなと感じました! 折衷案として、requirementsの内容をgrepしてインストールするのはどうでしょうか。 pip install <(cat requirements.txt | grep poetry) |
意図を掴みそこねました🙇(bash ムズカシイ…🥺) |
|
ああすみません! まず 前回のコメントはなぜかrequirements.txtから pip install <(cat requirements-dev.txt | grep pip-licenses) |
|
👍️ @Hiroshiba |
|
@Hiroshiba |
内容
概要:
requirements-license.txtを廃止してリファクタリング現在の VOICEVOX ENGINE は依存パッケージを poetry で管理し、それを pip 用にエクスポートしている。
依存パッケージのライセンスリストを生成する際にはエクスポートされた
requirements.txtが利用されるが、更にライセンス生成パッケージであるpip-licenseが必要である。つまりライセンス生成にはpip install -r requirements.txt && pip install pip-license==4.4.0のコマンドが必要になる。この手間を省くため、VOICEVOX ENGINE ではパッケージ group
licenseを設定している。これはpip-license=^4.4.0のみからなる group であり、エクスポートするとrequirements.txt内容 +pip-licenseが記録される。これを用いればライセンス生成時にpip install -r requirements-license.txtのみで完結する。これは便利であるが、
pip install pip-license==4.4.0の記述を消すためにrequirements-license.txtという追加ファイルを生み出している。このファイルの立ち位置を理解し、都度更新し、ビルド時の移動コマンドを正しく設定し、管理し続けるコストは低くない。
現状、記述削減メリットより管理コストが上回っていると考える(参照: 本 PR での削減量)。
すなわち、group
licenseの仕組みは過剰である。このような背景から、
requirements-license.txtを廃止するリファクタリングを提案します。本 PR では
pip-licenseパッケージが poetry から外れるため、セキュリティ自動チェックの仕組みから外れることになる。これは安全性低下ではあるが、pip-licenseがライセンス生成のみ登場しビルド・プロダクションに登場しないことを鑑みて許容範囲と考える。関連 Issue
無し