Yarn 4 er ute – får blanda mottakelse

Første store oppdatering på mer enn to år. Men ikke installer med npm!

Yarn 4.0 skal være raskere og sikrere enn forgjengeren. 📸: Yarn
Yarn 4.0 skal være raskere og sikrere enn forgjengeren. 📸: Yarn Vis mer

Etter hele 53 release-kandidater og mer enn ett års arbeid, har teamet bak pakkehåndtereren Yarn lansert versjon 4.0, skriver DevClass.

Den nye versjonen har blant annet fått bedre sikkerhet, ryddigere installasjon, samt at alle offisielle plugins – som for eksempel typescript og interactive-tools følger med som standard.

Yarn ble introdusert av Facebook-eier Meta i 2016 i samarbeid med blant andre Google, som et alternativ til npm. De siste årene har imidlertid Yarn tapt terreng til alternativer som pnpm. I tillegg har du fått løsninger som Deno og Bun som har gjort Yarn og andre pakkehåndterere overflødige.

Ifølge Stack Overflow ble Yarn brukt av 28 prosent av utviklere i 2022, men bare 22 prosent i 2023.

Gode, gamle npm er fortsatt den desidert mest brukte pakkehåndtereren med en bruksandel på 49 prosent.

Ikke alle er fornøyde med Yarn

Spørsmålet nå er om lanseringen av Yarn 4.0 er nok til å vinne tilbake brukerne.

Lanseringen har fått blandet mottakelse i sosiale medier:

– Etter alt tullet med Yarn 2, har jeg fortsatt å bruke Yarn 1. Det gjelder også de fleste andre jeg kjenner som bruker Yarn, skriver en bruker på Hacker News.

– Jeg byttet fra npm til Yarn 1 for bedre ytelse, men så ødela Yarn 2 nok ting til at jeg aldri klarte å oppgradere. Pnpm er minst like rask som Yarn 1, og har bedre kompatibilitet, skriver en annen.

Noen utviklere reagerer imidlertid positivt:

– En fantastisk lansering som løser de største problemene med de nyeste Yarn-versjonene, skriver "doodlesdev".

«En fantastisk lansering som løser de største problemene.»

Kan ikke installeres med npm

Mange installerer Yarn via npm, men dette anbefales ikke av Yarn. Da får du nemlig bare versjon 1.x av Yarn. Dette har tidligere skapt forvirring blant utviklere som ikke har skjønt hvorfor de bare får versjon 1 når de prøver å installere.

– Vi lanserer med vilje ikke moderne versjoner av npm yarn-pakken for å ikke brekke gamle prosjekter som ikke har migrert ennå, forklarer Yarns Maël Nison i lanseringsbloggposten.

Den anbefalte måten å installere Yarn på er å bruke et verktøy som er innebygget i Node: Corepack. Dette verktøyet vil automatisk velge riktig versjon av pakkehåndtereren avhengig av prosjektet du jobber på.

Yarn har oppdatert installasjonsguiden, der du kan lese mer om hvordan du aktiverer Corepack og installerer Yarn 4. Det er for øvrig et krav at du bruker Node-versjon 18 eller nyere.

Sikker-modus

En av de største nyhetene i Yarn 4 er det som kalles Hardened Mode, som skal beskytte mot noen spesielle typer angrep kalt "lockfile poisoining".

I disse angrepene blir lock-filen tuklet med, og det kan bli lagt inn "ondsinnede" pakker.

– Disse sjekkene vil forhindre en angriper fra å modifisere lock-filene dine i det skjulte når de gjør en PR mot prosjektet ditt med Yarn, sier Maël Nison i Yarn.

Det er også flere andre nyheter, som blant annet TypeScript-integrasjon som standard, bedre brukergrensesnitt og bedre ytelse.

Ifølge Yarn selv skal Yarn være like rask som pnpm i de fleste tilfeller.