WebPack可以确定在创建生产捆绑时是否使用DevDediesence？

Question

tl; dr：

是否有一种方法可以配置WebPack（开箱即用或通过某些插件？）来标记 /引起警告，如果代码捆绑（用于生产捆绑包）需要 /导入任何DEV依赖关系？ （直接通过devDepentencies，或通过dev：true在package> package> package-lock.json中间接使用）？

上下文

我们正在配置Disperabot以仅在依赖项中声明的扫描软件包（这是通过使用Displyabot的 允许 config option）。

但是，为了使其成为一个可靠的安全过程（因为我们依靠Disperabot的安全漏洞扫描），我们需要具有一个自动化过程，以确保在dependencies或DevDepentencies 。这样做的一种方法是让webpack发出警告，如果任何捆绑代码都包含devDepentency。

一些进一步的潜在相关信息：

这是针对由nx管理的monorepo，并

• 上使用一个package.json
• 在root两个应用程序 应用程序/后端）
• 一些共享库（在libs/*中）

Answer 1

否。没有Webpack插件可以为您执行此操作。还有其他一些依赖图图形模块/CLI工具可以生成这些统计数据。 depCheck 是我经常使用的模块。

它可以告诉您有关未使用和缺少模块的信息，但不完全是您想要的。通常，很难找到这一点。您声称为devDepentency的内容可能也可能是某些及物包的实际依赖项。同样，强制性同行依赖性也被称为开发依赖性，这使事物更加复杂。最后，您可能还具有仅用于开发目的的脚本，在这些脚本中，您也可以导入这些Dev依赖项。