nilsjohan/recipe-app
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

chore(deps): enforce npm package release age policy
Test Suite / backend-pr-quick (push) Has been skipped
Details
Test Suite / quick-import-pr-quick (push) Has been skipped
Details
Test Suite / backend-full (push) Successful in 2m40s
Details
Test Suite / flutter-quality (push) Failing after 1m9s
Details

Browse Source 
- Added `min-release-age=1` to backend/.npmrc to require packages to be at least 1 day old
- GitHub Actions backend jobs already use `npm ci` in backend/ directory, automatically enforcing the policy
- Updated README.md with supply-chain protection policy and operational procedures

BREAKING CHANGE: npm install/npm ci will now fail for packages younger than 1 day unless policy is temporarily overridden
This commit is contained in:
Nils-Johan Gynther
2026-05-24 19:40:48 +02:00
parent b04d157915
commit e6e9e11b18
3 changed files with 58 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files
.kilo/plans/1779643125894-lucky-island.md
+51
View File
@@ -0,0 +1,51 @@
# Plan: Konfigurera minimiålder för paketrelease
## Mål
Införa en "cooldown" för npm-paket så att mycket nyligen publicerade versioner blockeras vid installation i projektet.
## Nuläge (verifierat)
- Projektet använder npm (lockfile finns i `backend/package-lock.json` och `.kilo/package-lock.json`).
- Backend installeras i CI med `npm ci` i `.github/workflows/test.yml`.
- Ingen befintlig `.npmrc` i repo-roten eller i `backend/`.
- Ingen Renovate/Dependabot-konfiguration hittades i repot.
## Föreslagen implementation
1. **Sätt projektpolicy i backend**
- Skapa `backend/.npmrc` med:
- `min-release-age=1`
- Motivering: backend är den körda Node-applikationen och har tydlig CI-kedja med `npm ci`.
2. **(Valfritt) Sätt policy för Kilo-verktygsmappen**
- Om `.kilo/` installeras/uppdateras aktivt i detta repo, skapa även `.kilo/.npmrc` med samma värde.
- Om `.kilo/` är sekundär och inte del av normal drift kan detta utelämnas.
3. **CI-effekt (ingen workflow-ändring krävs)**
- `npm ci` i GitHub Actions kommer automatiskt respektera `backend/.npmrc`.
- Ingen ändring av `.github/workflows/test.yml` behövs för grundfunktionen.
4. **Dokumentera kort i befintlig drift-/utvecklingsdokumentation**
- Lägg 2-4 rader där dependency-policy redan beskrivs (om sådan sektion finns).
- Innehåll: syfte, värde (`1` dag), och hur man tillfälligt hanterar blockerade uppgraderingar.
5. **Verifiering**
- Lokalt i `backend/`:
- `npm config get min-release-age` (ska visa `1` med projektconfig aktiv)
- `npm ci` (ska fungera normalt)
- CI:
- Bekräfta att befintligt workflow passerar utan regressionsfel.
## Risker och hantering
- **Risk:** Legitima hotfix-versioner blir tillfälligt blockerade (<24h gamla).
- **Hantering:** vänta in cooldown eller använd tillfällig manuell policyjustering i kontrollerad incident.
- **Risk:** Inkonsistent policy om flera npm-delprojekt hanteras olika.
- **Hantering:** besluta explicit om `.kilo/` ska omfattas.
## Rekommenderade standardval
- Minimiålder: **1 dag** (`min-release-age=1`) nu.
- Scope: **backend först**; utöka till `.kilo/` endast om den mappen används aktivt i teamets vardagsflöde.
## Acceptanskriterier
- `backend/.npmrc` finns med `min-release-age=1`.
- `npm ci` i backend fungerar lokalt.
- CI-jobben som kör backend-installation fortsätter passera.
- (Om valt) `.kilo/.npmrc` följer samma policy.