npm依赖包版本号固定方法

最新推荐文章于 2024-04-09 11:00:15 发布
最新推荐文章于 2024-04-09 11:00:15 发布
阅读量3.2k 收藏 2
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lukialee/article/details/97613308
版权

为什么固定版本号?

  1. 为了安全。新版本有可能被黑客植入病毒。
    如何看待 NPM 包 event-stream 被黑客篡改,发现包含恶意代码?

  2. 保证功能一致性。
    一般情况下,限定了major和minor版本,Library对外暴露的API是向下兼容的,但有时候作者会修复Bug或者添加新功能,很可能影响原有功能的一致性,甚至产生新的Bug。

  3. 降低维护成本。
    虽然有package-lock.json这个文件,可以显式地锁定依赖包的版本,但它本身是不可靠的,且易变。
    一旦Library的作者发布了新版本,或者项目开发者自己使用了npm update命令,package-lock.json又会发生变化。
    如果我们依赖这种包管理的方式,在看代码PR时,还要观察这个文件的变更,成本太高。

 

有风险的做法

有几种写法?分别代表什么意思?看一下官方的介绍 https://docs.npmjs.com/files/package.json#dependencies

以下版本号写法,都是有风险的:

  1. 插入符号(^),限定major版本:
    功能兼容,旧的API不会消失,但可能会有新的API。
    如"@koa/cors": "^2.2.3",
    实际安装的版本会是 version >=2.2.3 && version < 3.0.0

  2. 波浪符号(~),限定minor版本:
    功能几乎一样,API不变,可能会有小问题修复和改进。
    如"@koa/cors": "~2.2.3",
    实际安装的版本会是 version >=2.2.3 && version < 2.3.0

解决办法

可以用以下命令查看安装的依赖:

npm list --depth=0

以下代码可以检查当前安装的包的版本,并固化版本号。如果对脚本不放心,那就用npm list 命令吧。

自动修改package.json,会通过npm list --depth=0,找到本地实际安装的依赖包版本号,替换掉package.json中的范围版本号。

const process = require('child_process');
const fs = require('fs');
const path = require('path');
const packageFilePath = path.resolve('package.json');
let packageContentStr = fs.readFileSync(packageFilePath, 'utf-8');

function fixPackagesVersion() {
  const packageContent = JSON.parse(packageContentStr);
  replaceDepsVersion(packageContent.dependencies);
  replaceDepsVersion(packageContent.devDependencies);
}

function replaceDepsVersion(dependencies) {
  Object.keys(dependencies).forEach(function (packageName) {
    const originalVerStr = `"${packageName}"\\s*:\\s*".*"`;
    const packageStartReg = new RegExp(originalVerStr);
    const finalVer = getFinalVersion(packageName);
    if (finalVer) {
      const stableVersionStr = `"${packageName}": "${finalVer}"`;
      packageContentStr = packageContentStr.replace(packageStartReg, stableVersionStr);
    }
  });
}

function getFinalVersion(packageName) {
  const str = actualInstalledPackages;
  const regStr = `──\\s${packageName}@.*`;
  const reg = new RegExp(regStr);
  const packageAndVerResult = str.match(reg);
  if (packageAndVerResult && packageAndVerResult.length) {
    const value = packageAndVerResult[0];
    return value.substring(value.lastIndexOf('@')+1);
  } else {
    return '';
  }
}



const command = 'npm list --depth=0';
let actualInstalledPackages;
process.exec(command, (err, stdout, stderr) => {
  actualInstalledPackages = stdout;
  fixPackagesVersion();
  fs.writeFileSync(packageFilePath, packageContentStr, 'utf-8');
});

 

Lukia Lee
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
版本锁定 dependencyManagement与<dependencies> 的区别
面包侠的博客
10-18 1181
比如当前有一个itcastutil 在pom.xml中引入如下配置信息 distributionManagement:发布管理器             releases                      http://localhost:8081/nexus/content/repositories/releases/  
npm锁定依赖版本号
weixin_43621379的博客
07-01 3726
npm config set save-exact true 这样每次 npm i xxx --save 的时候会锁定依赖版本号,相当于加了 --save-exact 参数。 小提示:npm config set 命令将配置写到了 ~/.npmrc 文件,运行 npm config list 查看。 通过运行 npm shrinkwrap ,会在当前目录下产生一个 npm-shrinkw...
npm安装指定版本
最新发布
听海边涛声
04-09 585
npm安装指定版本
在JavaScript项目中锁定npm依赖版本
細水、長流√的专栏
04-23 1632
问题 最近在项目中遇到这样一个问题,webpack生成的vender的哈希值在我和同事的电脑上不一致。由于之前已经配置过了CommonsChunkPlugin(配置如下),所以我们期望的结果是在不同环境下构建出的文件哈希值应该是一致的。 注:只给出了和本文内容相关的配置项 module.exports = { entry: { app: './src/js/app...
nodejs前端项目 如何显式指定某个依赖版本 resolutions 字段 + npm-force-resolutions 插件 package-lock.json
wuyujin1997的博客
02-18 3409
对于直接依赖(node install xxx直接安装、并写入package.json中的依赖),可以修改其版本号。这一步出现了问题,需要修改一些依赖(也括深层依赖,即依赖依赖)的版本,指定到系统认为安全的版本。这类问题,如果是Java后端+Maven管理依赖的场景下,可以在。只限定主版本号,次版本号和修订版本号可升级。,这个文件里列出的是当时具体的依赖层次和版本。字段内容的方式,来自己指定某些依赖版本了。文件来强行限制那些传递依赖(依赖依赖)的。而那些需要限制版本号依赖,你可以列在。
npm install 固定某个版本
Kimser
07-22 302
npm i --save vue-core-image-upload@2.3.10 即在其后加 ‘@版本号
npm 下载指定版本的组件方法
01-01
首先确保文件目录下含有 package.json 文件, 没有的话,可以通过 ...以上这篇npm 下载指定版本的组件方法就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持软件开发网。
npm依赖资源切换(typescript)
03-16
npm 依赖资源切换(TypeScript) 在现代软件开发中,Node.js 和 npm(Node Package Manager)是不可或缺的工具。npm 是 Node.js 的管理器,允许开发者轻松地安装、共享和管理项目依赖项。在这个资源中,我们将...
详解离线安装npm的几种方法
10-17
主要介绍了详解离线安装npm的几种方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
get-version:查看npm依赖的最新版本号的软件
05-14
输入命令 $ npm run npmi 或 $ yarn run yarni 安装生产环境依赖。nwjs中文文档谷歌扩展教程参考:api文档:关于dll无论是开发环境还是生产环境,首先要编译dll文件,将公共模块提取出来。关于node-sassnode-sass...
npm安装依赖至指定版本方法
weixin_30580943的博客
07-25 1265
npm安装依赖至指定版本方法 简介 本文介绍npm安装依赖至指定版本方法依赖版本可以在淘宝镜像或官方查询到. 三种方法 方法一 先在package.json里修改好指定版本号,然后输入: npm update d3 方法npm update d3@3.5.17 会把d3更新至指定版本,但是不会写到package.json文件里,如果需要写到package.j...
【工程化】之“依赖(dependencies)”的版本
余光的博客
01-04 1097
项目依赖可能会帮助你了解到你的项目它需要什么~
npm 固定版本 -e_你所需要的npm知识都在这了
weixin_29174385的博客
01-02 1572
npm在前端开发流程中提供了非常完善的自动化工具链,已成为每个前端开发者必备的工具,但是同样由于其强大性导致很多前端开发者只会简单的使用它。本文将总结在日常开发中所需要的npm知识点,以便开发者们更好的将npm运用在实际开发中。1. npm 处理 node_modules 目录结构一个项目开发、上线所依赖的插件都存放在node_modules中。虽然在实际开发中无需关注这个目录里面的文...
npm--03--锁定依赖版本号
細水、長流√的专栏
09-07 2295
需求 上次去客户公司交接项目源代码时,出现安装依赖后,启动失败的问题,最后找到原因是有一个依赖更新了大版本,导致两个文件找不到。所以客户要求我们要锁定依赖版本号,保证项目在以后的任何时间都正常运行。 解决方案 第一种、使用npm shrinkwrap命令 使用npm shrinkwrap命令,生成npm-shrinkwrap.json文件,这样在执行npm install时,npm会首先检查有没有npm-shrinkwrap.json文件,有的话会根据该文件中依赖版本以及resolve字段下
如何配置api版本管理
不知名博客
01-07 1895
文章目录介绍架构演示apiversionApiVersion自定义注解(贴在接口方法上)ApiVersionAutoConfiguration.classApiVersionProperties.classApiVersionRequestCondition.classApiVersionWebMvcRegistrations.classInnerUtils.classVersionedRequestMappingHandlerMapping.classEnableApiVersioning自定义注解(贴
npm管理和锁定版本踩坑
zwbHUST的博客
10-31 2752
问题: package.json中依赖pchart:1.1.0和p-component,p-component内部也依赖了pchart,但版本是pchart:1.1.1。 执行npm install后,就会出现这种情况: 项目中的node_modules(外层node_modules)存在pchart:1.1.0;而p-component文件夹中也有一个node_modules(内层node_modules),存在pchart:1.1.1。 如果用产品模式编译时ng build--prod,n.
npm安装指定版本npm版本安装;npm删除依赖,卸载依赖
热门推荐
weixin_43286206的博客
08-17 2万+
npm安装指定版本npm版本安装;npm删除依赖,卸载依赖
依赖版本锁定方案
Kristen的博客
11-14 2649
但如果需要更新当前某个依赖版本号并锁定到package-lock.josn中,需要手动修改package.json中对应的版本或者指定依赖版本号安装:npm i xxx@x.x.x。这是最直接的,可以在package.json中写入固定版本号,也就是去掉版本号前面的~或者^,或者安装的时候加上–save-exact参数。npm ci必须存在package-lock.json且依赖版本和package.json匹配时才会安装依赖,否则报错,如此可强制开发者在持续集成前先在本地解决依赖版本的一致性问题。
npm 查询依赖最新版本
04-30
npm是Node.js平台的管理器,用于管理安装和更新。在使用npm安装依赖时,我们通常需要查询依赖的最新版本来确保我们的应用程序使用了最新的功能和漏洞修复。 首先,我们需要使用命令行进入到项目目录中,并在命令行中输入以下命令: npm view <package-name> versions --json 其中,<package-name>是我们需要查询的名。该命令将返回一个JSON格式的数组,其中含了该的所有版本号。 我们可以使用以下命令来获取最新版本号npm view <package-name> version 该命令将返回该的最新版本号。 除了使用命令行获取最新版本号外,还可以在npm官网(https://www.npmjs.com/)上搜索名,并查看该版本历史记录。在该页面上,我们可以查看该的所有版本括发布日期、版本号、下载量、描述以及更新日志。 总之,使用npm管理器可以方便地安装和更新依赖,并且我们可以通过命令行或npm官网来查询依赖的最新版本,以确保我们的应用程序始终使用最新的版本和功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值