gemspec(Gemfileも?) に git ls-files 的なコード とか validation ロジックを含めた結果、dependabot が parse 出来ないとか言い出したときの対策

[kachick]

TL;DR

https://github.com/kachick/ruby-ulid/blob/6cf828199774dac022c7689fa4d849a4db973eae/ruby-ulid.gemspec#L49-L60

これが最強だ・・・！

  git_managed_files = `git ls-files`.lines.map(&:chomp)
  might_be_parsing_by_tool_as_dependabot = git_managed_files.empty?
  base_files = Dir['README*', '*LICENSE*',  'lib/**/*', 'sig/**/*'].uniq
  files = might_be_parsing_by_tool_as_dependabot ? base_files : (base_files & git_managed_files)

  unless might_be_parsing_by_tool_as_dependabot
    if files.grep(%r!\A(?:lib|sig)/!).size < 5
      raise "obvious mistaken in packaging files, looks shortage: #{files.inspect}"
    end
  end

• Dir.[] で 基本的に含めたいパス を指定し、 git ls-files で 想定外のファイルが含まれない事を担保する という方策
• might_be_parsing_by_tool_as_dependabot が苦肉の策も良いところで、 dependabot のためにそこまでやんの？という感はあるが、 git ls-files 使いたい & その中身もチェックしたいとなるとこんな感じの事をする以外に思い浮かばなかった。まぁどうせ gemspec は gem package の中に含まれないしどうでもいいっしょ。
• files.grep(%r!\A(?:lib|sig)/!).size < 5 の 5 は適当である。プロジェクトによって適当に振って欲しい。雑に担保したいだけである。
• 本当にローカル環境で git ls-files が空を返したらどうなるのか？もうね、それはね、流石に気にしない。

何についてか / About

git ls-files をベースにして、最終的にその中身を validate する gemspec を書いてたんだけど、

どうやら dependabot 上での git ls-filess の結果が空になってしまうようで、 kachick/ruby-ulid#154 みたいにエラーを吐いて dependabot が動かないという羽目になってしまっていた。

Dependabot can't evaluate your Ruby dependency files
Dependabot failed to update your dependencies because there was an error evaluating your Ruby dependency files.

Dependabot encountered the following error:

Bundler::Dsl::DSLError with message: [!] There was an error parsing `Gemfile`: 
[!] There was an error while loading `ruby-ulid.gemspec`: obvious mistaken in packaging files: []. Bundler cannot continue.

 #  from /home/dependabot/dependabot-updater/dependabot_tmp_dir/ruby-ulid.gemspec:49
 #  -------------------------------------------
 #    minimum_filepaths = git_ls_filepaths.grep(%r!\A(?:lib|sig)/!)
 >    raise "obvious mistaken in packaging files: #{minimum_filepaths.inspect}" if minimum_filepaths.size < 2
 #    extra_filepaths = %w[README.md LICENSE]
 #  -------------------------------------------
. Bundler cannot continue.

 #  from /home/dependabot/dependabot-updater/dependabot_tmp_dir/Gemfile:3
 #  -------------------------------------------
 #  
 >  gemspec
 #  
 #  -------------------------------------------
Learn more

https://www.codinginthecrease.com/news_article/show/350843-using-git-in-your-gemspec みたいに gemspec で git に頼らない方が良いよみたいな記事もあるし、実際例としてあげられている rails とかは使ってない様子では有る。 https://github.com/rails/rails/blob/c453a5fa88e89bc0bc8efde3b397f2464712bb49/activesupport/activesupport.gemspec#L20-L21

でも、そもそも 最新の bundle gem でも git ls-files 使ってるし #75 、外部コマンドに頼る事自体の気持ち悪さみたいなのはわかるものの、実際問題変なファイル含まれないかを一番シンプルに担保
出来るのは git ベースだと思う。
しかも、 Dir.[] の結果すら dependabot だとどうやら一部しか含まれてないようだった。どういう挙動をしているんだ・・・？ログ見てもそこまではわからなそうだった。

ということで、 Dir を使い git ls-files を使い validate もする を両立させるのに苦心した。という話だが、そもそも files の中身を validate している OSSプロジェクト自体別に見たこと無い気がするので、多分問題になっているのは自分一人だったんだろう。まぁいいや、これで行く。