전이 의존성 충돌 + lock 파일 고정 + CVE 감사 + 불필요 패키지 정리 경험
팀 프로젝트를 유지하면서 의존성 관리가 생각보다 복잡한 문제라는 걸 경험했습니다. 처음에는 패키지를 최신 버전으로 유지하는 게 좋다고 생각했는데, 전이 의존성(패키지가 패키지를 쓰는 연쇄 구조) 때문에 버전 충돌이 예상치 못한 곳에서 생기는 걸 경험했습니다.
lock 파일로 의존성을 고정하면 같은 팀원이 같은 버전을 쓰게 돼서 '내 환경에서는 되는데' 문제가 줄었습니다. 보안 측면에서는 오래된 패키지에서 CVE가 발견되는 경우가 있어서, 의존성 감사 도구를 CI에 연결하는 방식을 배웠습니다. 불필요한 의존성을 정리할 때는 직접 참조하지 않는 패키지가 전이 의존성으로만 들어온 경우를 먼저 확인했습니다.
의존성은 코드를 간소화하지만 동시에 외부 변화에 취약해지는 자리라는 걸 유지보수 경험에서 배웠습니다.