Package Management für .NET Entwickler: NuGet
Wer den Blog von Phil Haack verfolgt wird NuGet vermutlich bereits das ein oder andere mal gelesen haben. “Package Management” klingt erst einmal etwas sperrig, aber als Entwickler sollte man durchaus einen Blick auf NuGet werfen – es lohnt sich 
NuGet?
NuGet ist ein Open Source Package Management System was von Microsoftis und Nicht-Microsoftis (alles Open Source) entwickelt wird. Es soll als zentrale Anlaufstelle für allerlei Open Source Libraries dienen. Das Spektrum reicht von Javascript Bibliotheken, über irgendwelche Handler wie ELMAH, über NHibernate bis zu Mocking Frameworks. Wahrscheinlich gibt es noch viel mehr Möglichkeiten.
Wozu das ganze?
Die Idee ist (vermutlich) aus dem ASP.NET MVC Team geboren. In ASP.NET MVC wurde erstmals jQuery im Template mitgeliefert. Natürlich ist die mitgelieferte jQuery Version vermutlich bereits nach wenigen Tagen oder Wochen alt. Resultat: Der Entwickler muss sich selber die Files zusammensuchen und schauen ob es dafür updates gibt. Dasselbe gilt auch für serverseitige Komponenten, wie NHibernate. In Zukunft wird vermutlich auch NuGet für viele Frameworks, auch aus dem Hause Microsoft, eine Deployment-Rolle spielen.
Ganz grob gesagt:
Im Prinzip darf man sich NuGet so Vorstellen wie der Extension Manager von Visual Studio 2010. Auch da gibt es viele Microsoft Extensions…
Wer aus der Ruby on Rails & co. Welt kommt
Ja… sowas gibts bei anderen Plattformen schon länger. Trotzdem ist es ja nett und passt sich ganz gut in die Visual Studio Toollandschaft mit ein.
Neugierig?
-
Scott Hanselman: NuGet Action Plan – Upgrade to 1.1, Setup Automatic Updates, Get NuGet Package Explorer
Wie sieht das in der Praxis aus?
Ich habe jetzt bei BizzBingo die jQuery Bibliotheken mit der NuGet Variante ausgetauscht. Dies hat den Vorteil, dass ich relativ leicht feststellen kann ob es eine neue Version gibt oder nicht
Auch die Visual Studio doc Datein kann man ebenfalls mit runterladen:
Die Dateien landen dann im Scripts Verzeichnis – man muss sie aber noch selber referenzieren. Im Projekt selbst wird eine “package.config” Datei angelegt:
Dort steht beschrieben, welches Package hier installiert ist und in welcher Version. Die Packages selber werden auf der Höhe der SLN Datei in ein extra Verzeichnis abgespeichert, sodass man sämtliche Dateien auch in die Versionsverwaltung speichern kann.
Beim Starten der Anwendung etc. passiert also keine Magie oder dunkles Voodoo. NuGet lädt als Package die Dateien runter und kopiert sie in das jeweilige Projekte und fügt sich in das Projekt ein. Je nach Package kann das auch Änderung der Web.config nach sich ziehen. Zur Laufzeit passiert allerdings nix böses.
Wo bekomme ich NuGet her? Was für Packages gibt es?
Auf der NuGet Gallery kann man sich die aktuellen Packages anschauen:
NuGet ist noch relativ “jung” – allerdings steigt die Verwendung immer mehr. Viele Packages fehlen auch noch, aber jeder kann Packages hochladen
Für Statistikfreunde: stats.nuget.org
“Getting Started” gibt es auf Codeplex zum Anschauen. Auf der Startseite von nuget.org gibt es auch den Link zum Installer für Visual Studio.
About the author
Written by Robert Mühsig
Hi, ich bin Robert Mühsig und bin Webentwickler und beschäftige mich mit Web-Frameworks auf dem Microsoft Web Stack und scheue mich auch nicht vor Javascript. Der Blog begann als "Problemsammelstelle und Lösungshilfe" und seitdem schreibe ich hier alles auf. Seit 2008 bin ich Microsoft MVP für ASP.NET. Treffen kann man mich online via Twitter (@robert0muehsig) oder hier.
mgri
11. March 2011
Hmm, nett.
Aber immer dran denken: die Packages kommen per default aus dem Netz, man hat keine Kontrolle darüber. Als Böser Bube(tm) würde ich das Repository angreifen und Schlimme Dinge drin ablegen.
Eine Firma muss also unbedingt ein lokales, strikt kontrolliertes Repo benutzen.
Ken
11. March 2011
NuGet basiert letztenendes nur auf einem öffentlichen RSS-Feed, der angezapft wird. Um innerhalb eines Unternehmens ein sicheres Repository bereitzustellen, kann man eigene Feeds bauen:
http://nuget.codeplex.com/wikipage?title=Hosting%20Your%20Own%20Local%20and%20Remote%20NuPack%20Feeds
Damit sollte dann auch der “Böse Bube” eliminiert sein
Robert Mühsig
11. March 2011
Wenn man das offizielle Repository benutzt gibt es sicherlich Angriffsszenarien.
Allerdings ob ich mir irgendwelche Assemblies irgendwo vom Web hole oder über NuGet lade ist am Ende vermutlich ähnlich “gefährlich”. Natürlich wird es vermutlich wesentlich schwieriger die richtige jQuery Seite zu hacken anstatt als das Package irgendwie zu manipulieren. Die Packages werden ja bei der Installation ins Filesystem gelegt. Automatisch wird also nix aus dem Netz gezogen und dann muss sowieso erst geschaut werden ob nach einem Update alles noch geht
Mit NuGet kann man aber auch sehr einfach sein eigenes Repository erstellen. Als einfachste Möglichkeit wäre es die NuGet Packages in ein Fileshare zu speichern. Das kann dann als Repository dienen.
Mart
2. May 2011
Sehr schoen. Kann man es fuer Phone 7 Entwciklung verwenden? Bestimmt, Phone 7 reposytrium ist auch aehnlich vie bei .NET Framework
Softwareentwickler FusionEDV
2. May 2011
Um das repositorium einfach sicher, es muss man einfach es via externe Login Wrapper mechanism einbinden. Dann ist keine Drin