npm package与package-lock

最新推荐文章于 2024-05-16 12:52:36 发布
最新推荐文章于 2024-05-16 12:52:36 发布
阅读量2.4k 收藏 4
点赞数
分类专栏: npm 文章标签: npm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35423431/article/details/94573253
版权

最近做的项目,因为是用公司平台的组件,依赖比较多,开发过程中以及发版过程中都遇到了些问题,修改了组件的版本,但是未生效等问题,特让人头痛,之前也没学习过npm的相关知识,就只是会使用npm install,现在系统学习一下。

在这推荐一篇文章,超级棒前端工程化(5):你所需要的npm知识储备都在这了

NPM是随同NodeJS一起安装的包管理工具

查看版本:

npm -v

更新到最新版:

npm install npm@latest -g

安装包:

npm install <package_name>
npm install <package_name> --save-dev

执行install之后,会在当前的目录下创建一个 node_modules 的目录,存在的话,node_modules里会生成该包文件,package.json文件里dependencies下会有该包的最新引用,属于生产环境所需,也就是线上。

使用--save-dev安装,会安装到devDependencies中,这种依赖只在项目开发时所需要,即其中的依赖项不应该属于线上代码的一部分。比如构建工具webpack、gulp,预处理器babel-loader、scss-loader,测试工具e2e、chai等,这些都是辅助开发的工具包,无须在生产环境使用。

千万别以为只有在dependencies中的模块才会被一起打包,而在devDependencies中的不会!模块能否被打包,取决于项目里是否被引入了该模块!
在业务项目中dependencies和devDependencies没有什么本质区别,只是单纯的一个规范作用, 在执行npm i时两个依赖下的模块都会被下载; 而在发布npm包的时候,包中的dependencies依赖项在安装该包的时候会被一起下载devDependencies依赖项则不会

依赖包版本号

包版本前面有小尖括号^,在推荐的作者的文章里有详细介绍,兼容更新的版本号,在npm install时,会自动更新到最新版,当然,是主版本下的最新版【一个npm依赖包的版本格式一般为:主版本号.次版本号.修订号】,不使用小尖括号属于精确版本号,一般上线的时候,最好固定版本号。
命名规范请参考:语义化版本 2.0.0
在这里插入图片描述
package-lock.json文件

从npm 5.x开始,项目中采用package-lock.json的方式来锁定依赖的方式来排除自动升级问题,原则上不允许删除以及不允许放入到.gitignore与.npmignore中。

为什么会有lock呢?“锁定依赖”。小王做一个项目,里边用到了node-sass,package.json文件里会有引用:“node-sass”: “^4.9.3”,假设4.9.3是最新版,发版之后,node-sass更新到4.9.4,这时,小张需要修改小王的项目,拉取代码,install,这时,小张拉取的项目的node-sass的版本会自动更新到大版本下的最新版4.9.4,可能这个版本会影响我们之前的功能,就有问题了。这时,lock文件就出现了,npm 5以上install都是走的lock文件版本,只要不是手动更新组件版本,都是不会自动更新依赖的,这就保证了应用程序依赖之间的关系是一致的,兼容的。

更新版本

npm install 组件@version

“npm install 组件” 也是可以更新package和lock两个文件的,直接修改package里的版本 然后install,node_modules里组件不会更新,还是会安装lock文件里的版本。当然,不要因此去手动修改 package-lock.json。

纟31
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
npm-force-resolutions:强制npm安装特定的传递依赖项版本
05-14
NPM部队决议 该软件包修改package-lock.json,以强制安装特定版本的传递依赖关系(依赖关系的依赖关系),类似于yarn的,但不必迁移到yarn。 警告开始之前 这种情况的用例是存在安全漏洞,并且您必须更新嵌套的依赖项,否则您的项目将很容易受到攻击。 但这只能用作最后一个资源,您应该首先更新顶级依赖关系,并为他们提出一个问题以更新易受攻击的子依赖关系( npm ls <vulnerable>可以帮助您解决此问题)。 如何使用 首先,将要修复的依赖项版本的字段resolutions添加到package.json ,例如: " resolutions " : { " hoek " : " 4.2.1 " } 然后将npm-force-resolutions添加到预安装脚本中,以便在您每次npm install之前修补package-lock文件:
详解npmpackage-lock.json
weixin_40521770的博客
03-15 1078
NPM 的全称是NodePackage Manager,是 Node.js 官方提供的包管理工具,他已经成了 Node.js 包的标准发布平台,用于 Node.js 包的发布、传播、依赖控制。package.json用于告诉npm项目运行需要哪些包, 但包的最终安装的版本不能够只依靠这个文件进行识别, 还需以package-lock.json为准。
Node Package Manager(NPM)详解:从入门到精通
最新发布
2301_79262050的博客
05-16 482
NPM,即Node Package Manager,是随着Node.js一同发布的包管理工具。包管理:安装、卸载、更新、配置项目所需的包。版本管理:管理包的版本,确保项目使用正确的依赖版本。依赖管理:自动处理包的依赖关系,简化开发者的工作。NPM提供了一个命令行工具和一个在线仓库(registry),开发者可以在仓库中查找并使用数百万个开源包。NPM作为Node.js的包管理工具,已经成为JavaScript开发中不可或缺的一部分。
vue 环境搭建之坑----package-lock.json
lengfenglin521的专栏
01-10 6887
按网上安装了node 环境并配置好了环境变量 然后安装了vue 和vue-cli  这个时候开始创建vue-ex 项目 如图   发现没创建成功 npm run dev 更不好用了 一顿度娘寻求答案  最终发现 是package-lock.json 引起的问题 究其原因:原文转载 https://blog.csdn.net/shang_gege/article/details/8...
19.Npmpackage-lock.json文件
魏大大
06-07 1383
在版本 5 中,npm 引入了 文件。那是什么?你可能知道 文件,它更常见并且已经存在了很长时间。 文件的目标是跟踪已安装的每个软件包的确切版本,以便产品以相同的方式 100% 可重现,即使软件包由其维护者更新。这解决了 未解决的一个非常具体的问题。在 package.json 中,您可以使用 semver 表示法设置要升级到的版本(补丁或次要),例如:你不会提交到 Git 你的 node_modules 文件夹,它通常很大,当你尝试使用 命令在另一台机器上复制项目时,如果你指定了 语法和一个补丁
npm install 会由 package-lock.json驱动
无数_Mirage的博客
05-07 443
官方文档 翻译: 常见让人迷惑的地方: 比如你检出了一个项目,而你只用了npm i jquery,却发现他把所有的package.json里的依赖都下载下来了,包括你指定的jquery。这时候你要看一下你检出的项目中有没有package-lock.json。问题就在这,当有lock文件时,npm install 的安装会由lock文件中的依赖关系驱动,而此文件一定是包含了package.j...
fix-package-lock:通过重新生成来修复package-lock.json
02-03
npm install -g fix-package-lock # Using Yarn yarn global add fix-package-lock 运行使用: fix-package-lock fix-package-lock也可以使用npx运行: npx fix-package-lock 建于 一个更好的child_process
package-lock-audit:审核npm package-lock.json是否存在安全问题
05-07
包锁定审核 一个简单的审核/皮棉...用法npx package-lock-audit [--verbose 1] [--nogpl true] [...package-lock.json] 注意:最安全的方法是使用npx调用此二进制文件,并在对项目执行npm i之前执行此操作。 除非您愿意
npm-merge-driver-install:一个软件包,用于在本地自动安装npm-merge-driver
05-17
自动合并package-lock.json冲突的软件包。 很大程度上基于 ,在软件包安装时进行自动设置,并且只有一个小的依赖项来进行ci检查。 用生成的目录 安装 安装运行 npm i --save-dev npm-merge-driver-install 何时...
node-tgz-downloader:根据package-lock.json文件下载所有的node_modules
04-29
节点tgz下载器 根据以下之一下载所有的tarball: 本地package-lock.json文件 网址到package-lock.json ...download-tgz package-lock path/to/package-lock.json 来自网址: download-tgz packag
npm-package-template
05-25
npm-package-template 这是npm软件包的模板。 当前的src具有trim和isOdd / isEven功能。 如何在本地运行 $ yarn ... 图片: cimg/node:15.1 Circle CI映像正在使用npm因此需要package-lock.json
包管理工具详解npm、yarn、cnpm、npx 发布npmnpm install以及npm uninstall各参数含义 package文件和package-lock文件内常见配置含义
weixin_58555796的博客
04-08 1877
包管理工具详解npm、yarn、cnpm、npx 发布npmnpm install以及npm uninstall各参数含义 package文件和package-lock文件内常见配置含义
关于npmlock机制
南途的博客
04-19 1598
首先我们得明白这个: package.json中库的版本号详解: ~ 匹配最近的小版本依赖包,比如~1.2.3会匹配所有1.2.x版本,但是不包括1.3.0 ^ 匹配最新的大版本依赖包,比如^1.2.3会匹配所有1.x.x的包,包括1.3.0,但是不包括2.0.0 *意味着安装最新版本的依赖包 栗子: 首先我们npm init一个目录用来测试 安装npm install lodash@4.11.1生成了对应文件以及锁包lock文件 可见我们安装的版本是我们想要的4.11.1版本: lock文件里面
package.jsonpackage-lock.json你可能不是真得了解
我们一起学前端
10-22 1920
如果依赖包实在有bug,我们需要升级依赖包,此时我们只需要修改package.json依赖包的版本,只要package.jsonpackage-lock.json中版本不一致,就会重新生产一个package-lock.json。如果我们使用^或*,这两种都都是大版本的迭代,可以是依赖包的功能修改,这时候,我们还是按照之前的用法去使用,我们的项目可能会出现错误。^ 会匹配最新的大版本依赖包,比如 ^1.2.3 会匹配所有 1.x.x 的包,包括 1.3.0,但是不包括 2.0.0。
修改依赖包下的子依赖版本,前端项目安全扫描出来的漏洞——解决过程
为写出赏心悦目、容易维护的代码而探索
06-12 4821
然后我去网上找webpack3升级5的文章,跟着文章一步一步操作看行不行,坑太多了,这项目是很多年前的项目,很多配置都没注释,跟着网上的文章项目运行不起来,不知道哪里出了问题,这样下去时间成本太高,我决定要使用之前被我否定的强行修改子依赖的方案,兜兜转转还是得这招,虽然最后会留下7-8个必须要升级大依赖版本才能解决的漏洞,但这已经达到我们项目组的预期了。每次我们都是直接忽略,实际这些组件漏洞大部分都是——可能会导致项目被攻击后运行缓慢这种无关紧要的‘假漏洞’,存在矫枉过正的意思。
package.json中的版本管理
柏灿的博客
05-14 4579
当我们查看package.json中已安装的库的时候,会发现他们的版本号之前都会加一个符号,有的是插入符号^,有的是波浪符号~。那么他们到底有什么区别呢? "dependencies": { "es6-promise": "~4.1.0", "vux": "2.3.3", "zepto": "^1.2.0" }, //指定安装依赖的版本号: * '2.1.1' ...
package.jsonpackage-lock.json依赖包文件
weixin_42844704的博客
06-19 2786
如果 package.json 的 semver-range version 和 package-lock.json 中版本兼容(package-lock.json 版本在 package.json 指定的版本范围内),即使此时 package.json 中有新的版本,执行 npm install 也还是会根据 package-lock.json 下载。指定版本:比如 1.2.2 ,遵循“大版本.次要版本.小版本”的格式规定,安装时只安装指定版本。latest:安装最新版本。
package-lock.json有什么作用
奔跑起来才能感受到强风吹拂
12-25 5197
先来看下package.json文件里的各种版本符号 version 必须匹配某个版本 ^version //^此符号表示向后兼容新版本,会把当前库的版本更新到第一位数(不是0的第一位)的最新版本; //如第一个,会更新到4.X.X,也就是>=4.1.4 < 5.0.0; "webpack-merge": "^4.1.4", //>=4.1.4 < 5.0.0 "she...
packagepackage-lock文件的区别
zsxy2019的博客
11-22 3580
我们首先来看一下package.json文件里的内容 { "name": "xxxx", "version": "0.1.0", "private": true, "scripts": { "serve": "vue-cli-service serve --port 8081", "build": "vue-cli-service build", "lint": "vue-cli-service lint" }, "dependencies": { "
npm install --offline --no-audit --no-save --no-package-lock /path/to/offline-packages
05-30
`npm install --offline` 命令用于在离线模式下安装依赖项,即从本地文件系统中...这将从指定的目录中安装依赖项,并跳过npm audit检查,同时不会将依赖项添加到package.json文件中,也不会生成package-lock.json文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值