1.行为准则
2.依赖管理2.1.在现有的代码上增加一个依赖似乎是一个简单的决定2.2.不要重复自己”(Don’t repeat yourself,DRY)是一个通常被教导的原则2.3.依赖关系带来了风险2.3.1.不兼容的变化2.3.2.循环依赖2.3.3.版本冲突2.3.4.缺乏控制2.4.相依性是指你的代码所依赖的代码2.4.1.在编译、测试或运行期间,所有需要依赖关系的时间周期被称为依赖范围2.5.依赖关系是在软件包管理或构建文件中声明的2.5.1.Java的Gradle或Maven配置2.5.2.Python的setup.py或requirements.txt2.5.3.JavaScript的NPM所使用的package.json2.6.一个好的版本管理方案的特点2.6.1.唯一性(unique)2.6.1.1.版本不应该被重复使用2.6.1.2.永远不要在现有版本下重新发布更改的代码2.6.2.可比性(comparable)2.6.2.1.版本应该帮助人们和工具对版本的优先顺序进行推断2.6.3.信息性(informative)2.6.3.1.版本信息区分了预先发布的代码和已发布的代码,将构建流水号与构件相关联,并设置了稳定性和兼容性的合理预期2.7.具有唯一性的2.7.1.Git的哈希值或“营销相关”的版本2.7.2.Android操作系统的甜点系列(Android Cupcake、Android Froyo)2.7.3.Ubuntu的动物园(Trusty Tahr、Disco Dingo)2.7.4.没有可比性或信息性2.8.一个递增的版本号(1、2、3)既是唯一的,也是可比较的,但其携带的信息量并不大3.语义化版本3.1.语义版本管理(semantic versioning,SemVer)的版本管理方案3.1.1.版本管理中最常用的方案之一3.2.该规范定义了3个数字:主版本号、次版本号和补丁版本号(有时也称作微版本号)3.2.1.主版本号.次版本号.补丁版本号3.3.SemVer的方案还允许使用通配符来标记版本范围(2.13.*)3.3.1.SemVer承诺跨小版本和补丁版本的兼容性,即使有更新版本被自动拉取,比如修复bug和新特性,此时构建工作也应该继续进行3.4.语义化版本同时具有唯一性、可比性、信息性3.4.1.每个版本号只使用一次,可以通过从左到右进行比较3.4.2.它们提供不同版本之间的兼容性信息,并且可以选择对候选版本或构建流水号进行编码3.5.主版本号为0被认为是“预发布”,是为了快速迭代,不做任何兼容性保证3.5.1.开发者可以用破坏旧代码的方式修改API3.6.主版本号从1开始后,一个项目应该保证3.6.1.主版本号从1开始后,一个项目应该保证以下内容3.6.2.对于向下兼容的特性,次版本号是递增的3.6.3.对于无法向下兼容的变化,主版本号会被递增3.7.SemVer还通过在补丁版本号后添加一个“-”来定义预发布版本3.7.1.小数点分隔的字母和数字的序列被用作预发布版本的标识符(2.13.7-alpha.2)3.7.2.许多项目使用候选发布版(release candidate,RC)构建3.7.3.早期采用者可以在正式版本发布之前发现RC中的错误3.7.4.最终的RC被提升为正式发布版,重新发布的版本没有RC的后缀3.8.构建流水号被附加在版本号和预发布元数据之后3.8.1.如2.13.7-alpha.2+19423.8.2.包含构建流水号有助于开发者和工具找到任何版本被编译时的构建日志4.传递依赖4.1.传递依赖管理具有病毒传播的性质4.2.大多数构建和打包系统都能生成依赖关系报告4.3.了解依赖传递是依赖管理的一个关键部分4.4.增加一个依赖关系看起来似乎是一个小变化,但如果相关类库依赖于其他100个类库,你的代码现在就依赖于101个类库4.5.任何依赖关系的变化都会影响你的程序5.相依性地狱5.1.依赖相互冲突和不兼容的变化无处不在,一般的说法是相依性地狱5.2.循环依赖5.2.1.circular dependencies或cyclic dependencies5.2.2.一个库间接性地依赖它自己(A依赖B,而B依赖C,C又依赖A)5.3.钻石依赖5.3.1.一个项目不能同时使用同一个类库的两个不同的版本,所以构建系统必须从中选择其一5.4.版本冲突5.5.项目经常在没有检查兼容性的情况下就发放版本,即使是自动化也不能完全保证其兼容性5.6.那些无法向下兼容的变化会被不经意地发版成次版本或补丁版本,给你的代码库带来巨大的破坏6.避免相依性地狱6.1.添加一个依赖项的价值是否超过了它的成本6.1.1.你真的需要这些特性吗?6.1.2.依赖关系的维护情况如何?6.1.3.如果出了问题,你修复这个依赖有多容易?6.1.4.依赖项的成熟度如何?6.1.5.引用依赖后向下兼容的变化频率如何?6.1.6.你自己、你的团队和你的组织对该依赖的理解程度如何?6.1.7.自己写代码有多容易?6.1.8.代码采用什么样的许可协议?6.1.9.在依赖中,你使用的代码与你不使用的代码的比例是多少?6.2.隔离依赖项6.2.1.不必把依赖管理交给构建和打包系统6.2.2.将代码复制到你的项目中,用依赖管理自动化换取更多的隔离(稳定性)6.2.3.要务实,不要害怕复制代码,如果它能帮助你避免一个庞大的或不稳定的依赖关系6.2.4.直接复制代码在简短的、稳定的代码片段上效果最好6.2.5.遮蔽依赖也能达到隔离依赖项的目的6.2.5.1.遮蔽依赖会自动将一个依赖关系重新定位到不同的命名空间,以避免冲突6.2.5.2.一种可以防止库将其依赖关系强加给应用程序的友好方式6.2.5.3.遮蔽依赖是一种高级技术,应该少用6.2.5.4.永远不要在公共API中暴露一个遮蔽依赖的对象,这样做意味着开发者将不得不在遮蔽的包空间(shaded.some.package.space.Class)中创建对象6.3.按需添加依赖项6.3.1.将你使用的所有类库显式声明为依赖项6.3.2.不要使用来自横向依赖的方法和类6.3.2.1.即使你明确指定了直接依赖项的版本,横向依赖仍然可能有通配符6.3.3.类库可以自由地改变它们的依赖关系,即使是在补丁级的版本升级中也应如此6.3.4.不要只靠IDE来进行依赖管理,在构建文件中明确声明你的依赖项6.3.4.1.IDE和构建文件之间的差异会使代码在IDE中正常工作,却无法实际地完成代码构建,反之亦然6.3.5.指定依赖项的版本6.3.5.1.明确设定每个依赖项的版本号,这种做法称为版本指定(version pinning)6.3.5.2.未被指定的那些将由构建系统或软件包管理系统为你指定版本6.3.5.3.把你的命运交给构建系统是个坏主意,当依赖版本在连续构建过程中发生变化时,你的代码就会不稳定6.3.5.4.界定版本范围是在无特定范围和特殊指定某个版本之间的一个折中方案6.3.5.5.依赖解析系统可以自由地解决冲突和更新依赖项,但面对重大的变动时能力有限6.4.依赖范围最小化6.4.1.编译时的依赖项在运行时使用,但运行时的依赖项不会用于编译代码,只会用于运行代码6.4.2.对每个依赖项使用尽可能精确的依赖范围6.4.3.用编译时的依赖范围来声明所有的依赖项也可以,但这不是个好习惯6.4.4.精确的依赖范围将有助于避免冲突并减小运行时的二进制包或者文件的大小6.5.保护自己免受循环依赖的影响6.5.1.不要引入循环依赖6.5.2.使用构建工具保护自己6.5.2.1.许多构建系统都有内置的循环依赖检测的特性,当检测到循环依赖时就会提醒你