package.json
パッケージに関する情報を記述したファイルです。 タイトル、作者、依存パッケージなどのメタ情報を含んでいます。 このセクションで説明しているのは、pnpmを含む全ての主要なNode.jsのパッケージマネージャに共通する標準的な内容です。
engines
ソフトウェアが(パッケージが)動作するNode.jsとpnpmのバージョンを指定できます。
{
"engines": {
"node": ">=10",
"pnpm": ">=3"
}
}
開発時に使用しているpnpmのバージョンがengines
フィールドに指定したバージョンと一致しない場合、常に失敗し、エラーメッセージを出力するでしょう。
ユーザがengine-strict
設定フラグ (.npmrcを参照) を指定しなければ、このフィールドの役割は助言を与えるだけですし、あなたのパッケージを依存パッケージとしてインストールするときに警告を出力するだけでしょう。
dependenciesMeta
dependencies
, optionalDependencies
, devDependencies
内で宣言された依存関係のために使用される追加のメタ情報です。
dependenciesMeta.*.injected
ローカルな依存パッケージについてこの設定項目をtrue
に設定すると、モジュールディレクトリに対象のパッケージのハードリンク(シンボリックリンクではありません)を作成します。
例えば、ワークスペースに次のようなpackage.json
があるなら、card
ディレクトリのnode_modules
に、button
のシンボリックリンクを作成します。
{
"name": "card",
"dependencies": {
"button": "workspace:1.0.0"
}
}
ところで、button
のピア依存関係にreact
があるとどうなるでしょうか。 モノリポに含まれる全てのプロジェクトが、同じバージョンのreact
を使用しているなら何も問題はありません。 しかし、card
の要求するbutton
はreact@16
を要求し、form
がreact@17
を要求しているとしたらどうなるでしょうか。 injected
フィールドを使用しないなら、任意のバージョンのreact
を選択し、button
のdev依存関係としてインストールしなければなりません。 injected
フィールドを使用すれば、パッケージにbutton
を注入しつつ、button
をそれ自体が要求するバージョンのreact
と共にインストールできるようになります。
従って、card
のpackage.json
は次のようになります。
{
"name": "card",
"dependencies": {
"button": "workspace:1.0.0",
"react": "16"
},
"dependenciesMeta": {
"button": {
"injected": true
}
}
}
card
の依存パッケージとしてbutton
のハードリンクを作成します。そして、card/node_modules/button
の依存パッケージとしてreact@16
のシンボリックリンクを作成します。
こちらはform
のpackage.json
です。
{
"name": "form",
"dependencies": {
"button": "workspace:1.0.0",
"react": "17"
},
"dependenciesMeta": {
"button": {
"injected": true
}
}
}
form
の依存パッケージとしてbutton
のハードリンクを作成します。そして、form/node_modules/button
の依存パッケージとしてreact@17
のシンボリックリンクを作成します。
In contrast to normal dependencies, injected ones are not symlinked to the destination folder, so they are not updated automatically, e.g. after running the build script. To update the hard linked folder contents to the latest state of the dependency package folder, call pnpm i
again.
Note that the button
package must have any lifecycle script that runs on install in order for pnpm
to detect the changes and update it. For example, the package can be rebuilt on install: "prepare": "pnpm run build"
. Any script would work, even a simple unrelated command without side effects, like this: "prepare": "pnpm root"
.
peerDependenciesMeta
このフィールドには、peerDependencies
フィールドに記述した依存パッケージに関連する、追加の情報を記述します。
peerDependenciesMeta.*.optional
この設定項目をtrue
に設定すると、パッケージマネージャーは指定したピア依存関係を任意の(必須ではない)依存パッケージだと認識します。 そのため、利用者が(コンシューマーが)除外したとしても、エラーとして報告することはありません。
例:
{
"peerDependencies": {
"foo": "1"
},
"peerDependenciesMeta": {
"foo": {
"optional": true
},
"bar": {
"optional": true
}
}
}
bar
がpeerDependencies
に指定されていなかったとしても、任意の(必須ではない)依存パッケージとして認識することになるので注意してください。 その場合、pnpmはどのバージョンのbar
でも問題ないと仮定します。 foo
も任意(必須ではない)ですが、バージョンを指定するために必要です。
publishConfig
パッケージを梱包する(パックする)とき、マニフェストに登場するいくつかのフィールドを上書きできます。 上書きできるフィールドは次のとおりです。
フィールドを上書きするには、publishConfig
に公開するときのフィールド値を設定します。
例えばpackage.json
を次のように記述します。
{
"name": "foo",
"version": "1.0.0",
"main": "src/index.ts",
"publishConfig": {
"main": "lib/index.js",
"typings": "lib/index.d.ts"
}
}
そうすると、公開するマニフェストは次のようになります。
{
"name": "foo",
"version": "1.0.0",
"main": "lib/index.js",
"typings": "lib/index.d.ts"
}
publishConfig.executableFiles
初期設定では、パッケージのアーカイブに含まれるファイルのうち、bin
フィールドに列挙されていないファイルには、実行可能ファイルとしてのフラグを設定しません。移植性を考慮しているからです。 executableFiles
フィールドには、実行可能ファイルとしてのフラグ (+x) を設定するべきファイルを指定できます。bin
フィールドに指定したファイルから直接アクセスできないファイルも指定できます。
{
"publishConfig": {
"executableFiles": [
"./dist/shim.js"
]
}
}
publishConfig.directory
publishConfig.directory
フィールドには、実際に公開するサブディレクトリをpackage.json
からの相対パスで指定できます。
サードパーティのビルドツールを使用する場合など、現在のパッケージを改変した結果を特定のディレクトリに出力する場合を想定しています。
次の例では
"dist"
フォルダーにpackage.json
を配置しなければなりません。
{
"name": "foo",
"version": "1.0.0",
"publishConfig": {
"directory": "dist"
}
}
publishConfig.linkDirectory
- デフォルト: true
- タイプ: Boolean
true
に設定すると、ローカル開発中にプロジェクトは publishConfig.directory
の場所からシンボリックリンクされます。
例:
{
"name": "foo",
"version": "1.0.0",
"publishConfig": {
"directory": "dist"
"linkDirectory": true
}
}
pnpm.overrides
このフィールドを指定すると、依存関係グラフにおける任意の依存関係を上書きするようpnpmに指示できるようになります。 全てのパッケージが同じバージョンの依存パッケージを使うように強制したり、バグ修正をバックポートしたり、フォークした依存パッケージへ置き換えるときに役立ちます。
overrides
フィールドは、最上位のプロジェクトでしか設定できないので注意してください。
"pnpm"."overdides"
フィールドは次のように設定します。
{
"pnpm": {
"overrides": {
"foo": "^1.0.0",
"quux": "npm:@myorg/quux@^1.0.0",
"bar@^2.1.0": "3.0.0",
"qar@1>zoo": "2"
}
}
}
上書きするように指定した依存関係が所属するパッケージは、">" を区切り文字として、パッケージセレクタと依存関係セレクタにより指定できます。例えば、qar@1>zoo
と指定すると、zoo
の依存関係qar@1
だけを上書きすることになり、他の依存関係には影響しません。
overrideの内容は、直接依存関係の仕様 (訳注: package. json の dependencies フィールドの記述のこと) への参照として定義することができます。 これは次のように、依存関係の名前を $
でプレフィックスすることで設定できます。
{
"dependencies": {
"foo": "^1.0.0"
},
"pnpm": {
"overrides": {
"foo": "$foo"
}
}
}
次の例のように、参照されるパッケージはオーバーライドされたパッケージと一致する必要はありません。
{
"dependencies": {
"foo": "^1.0.0"
},
"pnpm": {
"overrides": {
"bar": "$foo"
}
}
}
pnpm.packageExtensions
packageExtensions
フィールドは、追加の情報と共に既存のパッケージ定義を拡張する方法を提供します。 例えば、react-redux
のpeerDependencies
に存在するべきreact-dom
がなかった場合、packageExtensions
フィールドで次のように追加(パッチ)できます。
{
"pnpm": {
"packageExtensions": {
"react-redux": {
"peerDependencies": {
"react-dom": "*"
}
}
}
}
}
packageExtensions
フィールドのキーはパッケージ名、あるいは、パッケージ名とsemver形式のバージョン範囲を組み合わせたものです。つまり、あるパッケージの特定のバージョンだけをパッチできるのです。
{
"pnpm": {
"packageExtensions": {
"react-redux@1": {
"peerDependencies": {
"react-dom": "*"
}
}
}
}
}
packageExtensions
フィールドは、dependencies
、optionalDependencies
、peerDependencies
、peerDependenciesMeta
を拡張できます。
より長い例は次のとおりです。
{
"pnpm": {
"packageExtensions": {
"express@1": {
"optionalDependencies": {
"typescript": "2"
}
},
"fork-ts-checker-webpack-plugin": {
"dependencies": {
"@babel/core": "1"
},
"peerDependencies": {
"eslint": ">= 6"
},
"peerDependenciesMeta": {
"eslint": {
"optional": true
}
}
}
}
}
}
Yarnとともに、エコシステムで壊れたパッケージにパッチを当てるための packageExtensions
のデータベースを整備しています。 packageExtensions
を使用する場合は、PRを送り、@yarnpkg/extensions
のデータベースに拡張機能を提供することを検討してください。
pnpm.peerDependencyRules
pnpm.peerDependencyRules.ignoreMissing
pnpm は、このリストで指定された peerDependencies が存在しなくても警告を出力しません。
たとえば、次の構成では、依存関係が react
を要求しているが、 react
がインストールされていない場合でも、pnpmは警告を出力しません。
{
"pnpm": {
"peerDependencyRules": {
"ignoreMissing": ["react"]
}
}
}
Package name patterns may also be used:
{
"pnpm": {
"peerDependencyRules": {
"ignoreMissing": ["@babel/*", "@eslint/*"]
}
}
}
pnpm.peerDependencyRules.allowedVersions
指定された範囲については peerDependencies が満たされていなくても警告が表示されなくなります。
例えば、react@16
を必要とする依存関係があったとして、それが react@17
でも正常に動くことをあなたが知っている場合、次のような構成を使用できます。
{
"pnpm": {
"peerDependencyRules": {
"allowedVersions": {
"react": "17"
}
}
}
}
これは pnpm に、peerDependencies に react を持っているすべての依存関係について、 react
v17 をインストールすることを許可するように指示します。
また、特定のパッケージの peerDependencies についてのみ、警告を抑止することもできます。 例えば、 以下の設定では react
v17 は、 button
v2 パッケージの、または任意の card
パッケージの peerDependencies についてのみ許可されます。
{
"pnpm": {
"peerDependencyRules": {
"allowedVersions": {
"button@2>react": "17",
"card>react": "17"
}
}
}
}
pnpm.peerDependencyRules.allowAny
allowAny
はパッケージ名パターンの配列です。 パターンに一致するpeerDependencyは、 peerDependencies
で指定された範囲に関係なく、任意のバージョンで解決されます。 例:
{
"pnpm": {
"peerDependencyRules": {
"allowAny": ["@babel/*", "eslint"]
}
}
}
上記の設定は、 @babel/
パッケージと eslint
についてのpeerDependencyの不一致に関する警告をミュートします。
pnpm.neverBuiltDependencies
このフィールドに指定した依存関係のビルドは無視されます。 ここに列挙されたパッケージの「preinstall」、「install」、および「postinstall」スクリプトは、インストール中に実行されません。
"pnpm"."neverBuiltDependencies"
フィールドの例:
{
"pnpm": {
"neverBuiltDependencies": ["fsevents", "level"]
}
}
pnpm.onlyBuiltDependencies
インストール中に実行することを許可されたパッケージのリスト。 このフィールドが存在する場合、列挙されたパッケージのみがインストールスクリプトを実行できます。
例:
{
"pnpm": {
"onlyBuiltDependencies": ["fsevents"]
}
}
pnpm.onlyBuiltDependenciesFile
Added in: v8.9.0
This configuration option allows users to specify a JSON file that lists the only packages permitted to run installation scripts during the pnpm install process. By using this, you can enhance security or ensure that only specific dependencies execute scripts during installation.
例:
{
"dependencies": {
"@my-org/policy": "1.0.0"
},
"pnpm": {
"onlyBuiltDependenciesFile": "node_modules/@my-org/policy/onlyBuiltDependencies.json"
}
}
The JSON file itself should contain an array of package names:
[
"fsevents"
]
pnpm.allowedDeprecatedVersions
This setting allows muting deprecation warnings of specific packages.
例:
{
"pnpm": {
"allowedDeprecatedVersions": {
"express": "1",
"request": "*"
}
}
}
With the above configuration pnpm will not print deprecation warnings about any version of request
and about v1 of express
.
pnpm.patchedDependencies
This field is added/updated automatically when you run pnpm patch-commit. It is a dictionary where the key should be the package name and exact version. The value should be a relative path to a patch file.
例:
{
"pnpm": {
"patchedDependencies": {
"express@4.18.1": "patches/express@4.18.1.patch"
}
}
}
pnpm.allowNonAppliedPatches
When true
, installation won't fail if some of the patches from the patchedDependencies
field were not applied.
{
"pnpm": {
"patchedDependencies": {
"express@4.18.1": "patches/express@4.18.1.patch"
}
"allowNonAppliedPatches": true
}
pnpm.updateConfig
pnpm.updateConfig.ignoreDependencies
Sometimes you can't update a dependency. For instance, the latest version of the dependency started to use ESM but your project is not yet in ESM. Annoyingly, such a package will be always printed out by the pnpm outdated
command and updated, when running pnpm update --latest
. However, you may list packages that you don't want to upgrade in the ignoreDependencies
field:
{
"pnpm": {
"updateConfig": {
"ignoreDependencies": ["load-json-file"]
}
}
}
Patterns are also supported, so you may ignore any packages from a scope: @babel/*
.
pnpm.auditConfig
pnpm.auditConfig.ignoreCves
A list of CVE IDs that will be ignored by the pnpm audit
command.
{
"pnpm": {
"auditConfig": {
"ignoreCves": [
"CVE-2022-36313"
]
}
}
}
pnpm.requiredScripts
Scripts listed in this array will be required in each project of the workspace. Otherwise, pnpm -r run <script name>
will fail.
{
"pnpm": {
"requiredScripts": ["build"]
}
}
resolutions
Functionally identical to pnpm.overrides
, this field is intended to make it easier to migrate from Yarn.
resolutions
and pnpm.overrides
get merged before package resolution (with pnpm.overrides
taking precedence), which can be useful when you're migrating from Yarn and need to tweak a few packages just for pnpm.