npm package-lock的管理

最新推荐文章于 2023-12-25 17:09:54 发布
最新推荐文章于 2023-12-25 17:09:54 发布
阅读量1.2k 收藏 1
点赞数
文章标签: npm json 前端 node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41697143/article/details/129012319
版权

npm package-lock的管理

package-lock.json文件很容易产生冲突,我们先来看看为什么需要 package-lock.json.

package-lock.json 作用

package-lock.json is automatically generated for any operations where npm modifies either the node_modules tree, or package.json. It describes the exact tree that was generated, such that subsequent installs are able to generate identical trees, regardless of intermediate dependency updates.

以上摘自官方文档,翻译一下就是

package-lock.json会在npm更改node_modules目录树或者package.json时自动生成的。它准确的描述了当前项目npm包的依赖树,并且在随后的安装中会根据package-lock.json来安装,保证是相同的一个依赖树,不考虑这个过程中是否有某个依赖有小版本的更新。

这里有个很重要的点就是,package-lock.json记录的是一个依赖树,而不是你直接在package.json中的依赖项。和直接在package.json中锁死版本不一样的地方在于,package.json中只是锁死了依赖项的版本,而没有锁死**依赖项的依赖**的版本,这里就是变数的地方。如果不对整个依赖树做锁定,那前后编译出来的应用版本可能是不一样的,有可能开发时能正常工作,而到了线上却不能工作。

所以很明显的package-lock.json是很符合我们的诉求的。我们需要让后面每一次install都是相同的版本,打出来的包都有着相同的依赖,这对于我们项目的稳定性、前后一致性是非常重要的。

解决 package-lock 的冲突

不要试图删除package-lock.json来解决一些问题,这样会破坏package-lock.json的作用。

package-lock是工具自动生成的一个文件内容,对于这种自动生成的文件最好的办法还是交由工具去处理,而不是手工一个一个的去处理产生的冲突。

在开发过程中,合并的时候如何如果出现了冲突,在merge conflicts的阶段,只需要从主分支中checkout去package-lock.json,再以此为基础,重新安装新分支中需要的依赖。

git checkout dev -- package-lock.json;
npm install lodash --save;

这样让npm自动的去维护package-lock.json。当然上面的步骤同样也适用于rebase过程。

我相信这个办法可以很好的解决package-lock.json冲突的问题,并且团队合作中,做merge或者rebase操作的人可以通过查看package.json的变更知道新安装了哪些依赖包,来重新安装,也可以很好的解决这个问题。

校验 package-lock.json 的正确性

在按照上面的步骤解决完package-lock.json的冲突后,code reviewer对package-lock.json的正确性需要做一次校验,按照gerrit中的说法就是**verify**的过程。将被review的代码拉到本地做一次npm install,检查package-lock.json是否有modified,如果没有modify说明提交的package-lock.json是一份正确的文件。

有一个问题,package-lock.json中的resolved字段会被不同环境中的npm registry改写,这样会导致很多的冲突。所以在经过正确性校验的过程中,可能会因为本地registry的配置问题会导致package-lock.json处于modified状态。所以为了规避这个问题,需要在团队内统一npm registry,可以在项目根目录中使用.npmrc来配置项目级别的registry来进行统一。

resolved 选项

不同依赖库安装时,会更改 resolved 选项。不同电脑执行同样的 npm install 会产生不同的 package-lock.json 文件,这样会造成代码冲突。本质的原因如下:

Npm版本问题

简介

如果你已经将节点包管理(npm)更新到版本5.x.x,看起来一切似乎都很顺利。等等,这是什么?用 npm 初始化项目的会自动创建了一个新文件 package-lock.json。如果打开它,它看起来有点像 package.json 的依赖项,但更冗长。我们决定忽略它,继续开发项目。最终,我们有时会遇到依赖项的问题,找不到,或者安装了错误的版本。大多数人最终都会删package-lock.json和运行“npm install”。那么,为什么要有它呢? 它应该做什么? 它实际上是做什么的?

总结

  • 如果你使用的 npm 版本 为 ^5.x.x , package-lock.json 会默认自动生成
  • 你应该使用 package-lock 来确保一致的安装和兼容的依赖关系
  • 你应该将 package-lock 提交到源代码控制
  • 从npm ^ 5.1.x开始,package.json能够胜过 package-lock.json,所以你遇到较少让人头痛的问题
  • 不再删除 package-lock 只是为了运行npm install并重新生成它

背景

语义版本控制

在你了解 package-lock 甚至 package.jso n之前,你必须了解语义版本控制(semver)。 这是npm背后的天才,是什么使它更成功。 你可以在 此处 阅读有关npm如何使用它的更多信息。简而言之,如果你正在构建与其他应用程序接口的应用程序,你应该告知你所做的更改将如何影响第三方与你的应用程序交互的能力。这是通过语义版本控制完成的,版本由三部分组成:X,Y,Z,分别是主要版本,次要版本和补丁版本。

例如:1.2.3,主要版本1,次要版本2,补丁3。

补丁中的更改表示不会破坏任何内容的错误修复。 次要版本的更改表示不会破坏任何内容的新功能。 主要版本的更改代表了一个破坏兼容性的大变化。 如果用户不适应主要版本更改,则内容将无法正常工作。

管理包

npm 存在使管理包变得容易。你的项目可能有数百个依赖项,每个依赖项都有一百个,为了让你的注意力远离依赖地狱,通过 npm 管理,使用一些简单的命令,你可以安装和管理这些依赖关系,几乎不必考虑它们。

当您使用npm安装包(并保存它)时,会在 package.json 中添加一个包含包名称和应该使用的 semver的条目。默认情况下,npm 安装最新版本,并预先插入版本号,例如 “^1.2.12”,这表示至少应该使用版本 1.2.12,但任何高于此版本的版本都可以,只要它具有相同的主要版本,由于次要版本和补丁编号仅代表错误修正和非破坏性添加, 你可以安全地使用任何更高版本的同一主要版本。阅读更多关于semver通配符的信息,请看 这里

共享项目

在 package.json 中定义这样的依赖项的真正好处是,任何有权访问 package.json 的人都可以创建一个包含运行应用程序所需模块的依赖项文件夹,但是让我们来看看事情可能出错的具体方式。

假设我们创建了一个将使用 express 的新项目。 运行npm init后,我们安装express:npm install express - save。在编写代码时,最新的版本是4.15.4,所以 “express”:“^ 4.15.4”作为我的package.json中的依赖项添加,并且我的电脑安装了确切的版本。

现在也许明天,express 的维护者会发布 bug 修复,因此最新版本变为4.15.5。 然后,如果有人想要为我的项目做贡献,他们会克隆它,然后运行`npm install。'因为4.15.5是具有相同主要版本的更高版本,所以为它们安装。 我们都安装 express ,但我们却是不同的版本。

从理论上讲,它们应该仍然是兼容的,但也许bugfix会影响我们正在使用的功能,而且当使用Express版本4.15.4和4.15.5运行时,我们的应用程序会产生不同的结果。

Package-lock

目的

package-lock.json 的目的是避免上述情况,其中从同一 package.json 安装模块会导致两种不同的安装。 在 npm 版本 5.x.x 中添加了 package-lock.json,因此如果你使用的是主要版本 5 或更高版本,除非您禁用它,否则它会自动生成。

内容结构

package-lock 是 package.json 中列出的每个依赖项的大型列表,应安装的特定版本,模块的位置(URI),验证模块完整性的哈希,它需要的包列表 ,以及依赖项列表。 让我们来看看 express 的列表是什么:

"express": {
  "version": "4.15.4",
  "resolved": "https://registry.npmjs.org/express/-/express-4.15.4.tgz",
  "integrity": "sha1-Ay4iU0ic+PzgJma+yj0R7XotrtE=",
  "requires": {
    "accepts": "1.3.3",
    "array-flatten": "1.1.1",
    "content-disposition": "0.5.2",
    "content-type": "1.0.2",
    "cookie": "0.3.1",
    "cookie-signature": "1.0.6",
    "debug": "2.6.8",
    "depd": "1.1.1",
    "encodeurl": "1.0.1",
    "escape-html": "1.0.3",
    "etag": "1.8.0",
    "finalhandler": "1.0.4",
    "fresh": "0.5.0",
    "merge-descriptors": "1.0.1",
    "methods": "1.1.2",
    "on-finished": "2.3.0",
    "parseurl": "1.3.1",
    "path-to-regexp": "0.1.7",
    "proxy-addr": "1.1.5",
    "qs": "6.5.0",
    "range-parser": "1.2.0",
    "send": "0.15.4",
    "serve-static": "1.12.4",
    "setprototypeof": "1.0.3",
    "statuses": "1.3.1",
    "type-is": "1.6.15",
    "utils-merge": "1.0.0",
    "vary": "1.1.1"
  }
},

可以在“requires”部分中列出的每个包中找到等效条目。

npm(^5.x.x.x)后的做法,npm 使用package-lock.json,而不是使用 package.json 来解析和安装模块。因为 package-lock 为每个模块及其每个依赖项指定了版本,位置和完整性哈希,所以它每次创建的安装都是相同的。 无论你使用什么设备,或者将来安装它都无关紧要,每次都应该给你相同的结果,这非常有用。

争议

因此,如果引用 package-lock 是希望解决一个常见问题,为什么它的顶级搜索结果(除了npm文档)都是关于禁用它或质疑它扮演的角色?

在npm 5.x.x之前,package.json 是项目的真实来源,npm 用户喜欢这个模型,并且非常习惯于维护他们的包文件。 但是,当首次引入 package-lock 时,它的行为与有多少人预期的相反。 给定一个预先存在的包和package-lock,对package.json的更改(许多用户认为是真实的来源)没有同步到package-lock 中。

**示例:**包A,版本 1.0.0 在 package.json 和 package.lock.json 中。 在package.json中,A被手动编辑为1.1.0版。 如果认为 package.json 是真实来源的用户运行 npm install,他们会期望安装 1.1.0版。 但是,安装了1.0.0版,即使列出的 v1.1.0 是 package.json, 他们也希望安装是 1.0.0版。

示例: package-lock.json 中不存在模块,但它存在于 package.json 中,作为一个将package.json 视为真实来源的用户,我希望能够安装我的模块。 但是,由于 package-lock.json 不存在该模块,因此未安装该模块,并且我的代码因无法找到模块而失败。

大部分时间,因为我们无法弄清楚为什么我们的依赖关系没有被正确安装,要么删除了package-lock.json 并重新安装,要么完全禁用 package-lock.json 来解决问题。

期望与真实行为之间的这种冲突在 npm repo中引发了一个非常有趣的问题线索。 有些人认为package.json 应该是事实的来源,有些人认为,因为 package-lock 是 npm 用来创建安装的东西,所以应该被认为是事实的来源。 这场争议的解决方案在于 PR#17508。 如果 package.json 已更新,Npm 维护者添加了一个更改,导致package.json 覆盖 package-lock。 现在,在上述两种情况下,都会正确安装用户期望安装的软件包。 此更改是作为npm v5.1.0的一部分发布的,该版本于2017年7月5日上线。

Michael18811380328
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
node-tgz-downloader:根据package-lock.json文件下载所有的node_modules
04-29
节点tgz下载器 根据以下之一下载所有的tarball: 本地package-lock.json文件 网址到package-lock.json 包装名称 本地package.json文件 网址到package.json 搜索关键词 安装 npm install node-tgz-downloader -g 用法 来自代码: const downloader = require ( 'node-tgz-downloader' ) ; downloader . downloadFromPackageLock ( 'path/to/package-lock' ) ; 从命令行: package-lock.json 从本地文件: download-tgz package-lock path/to/package-lock.json 来自网址: download-tgz packag
fix-package-lock:通过重新生成来修复package-lock.json
02-03
npm install -g fix-package-lock # Using Yarn yarn global add fix-package-lock 运行使用: fix-package-lock fix-package-lock也可以使用npx运行: npx fix-package-lock 建于 一个更好的child_process
package.json中的版本和package-lock.json的作用
01-07
引言 我们在搭建项目的时候,通过 npm 安装的依赖模块时,package.json文件中依赖的版本号前面会带符号 ^,有时候我们看别人的项目时也可能会看版本前带符号 ~ ,或者什么也不带,其中会有什么区别呢?而且当你的 npm 版本升级到 5.X.X 版本以上的时候,对应目录下还是自动生成一个 package-lock.json 文件,这个文件的作用又是什么呢。博主根据网上资料简单说明一下。 1.package.json 版本 dependencies: { react: ^16.8.0 react: ~16.8.0, react: 16.
package-lock的作用
h_mo_liang的博客
02-18 1万+
npm 5.0 版本后,npm install 后都会自动生成一个 package-lock.json 文件 ,当包中有 package-lock.json 文件时,npm install 执行时,如果 package.jsonpackage-lock.json 中的版本兼容,会根据 package-lock.json 中的版本下载;如果不兼容,将会根据 package.json 的版本,更新 package-lock.json 中的版本,已保证 package-lock.json 中的版本兼容
谁动了我的package-lock
Jioho的博客
07-27 648
血淋淋的教训只为呈现更好的文章内容 package-lock 介绍 nodejs 对 package-lock 的介绍:package-lock.json 文件 最重要的一句就是: 该文件旨在跟踪被安装的每个软件包的确切版本,以便产品可以以相同的方式被 100% 复制(即使软件包的维护者更新了软件包)。 问题的出现 今天新开了一个项目,就把一个项目的脚手架复制到另外一个项目去。然后突然出现了各种各样的问题。 最离谱就是同样的代码,另外一个域名运行的好好的,就新项目各种问题。。。没报错,本地运行没警告~
packagepackage-lock文件的区别
zsxy2019的博客
11-22 3545
我们首先来看一下package.json文件里的内容 { "name": "xxxx", "version": "0.1.0", "private": true, "scripts": { "serve": "vue-cli-service serve --port 8081", "build": "vue-cli-service build", "lint": "vue-cli-service lint" }, "dependencies": { "
package-lock.json的作用
热门推荐
why404
02-09 1万+
背景 不知道大家平时在开发中有没有注意到,你的项目中有两个文件: package.json package-lock.json 应该很多人平时都不会去关注这两个文件有啥关系吧!今天就给大家简单地讲讲吧,这样下次面试官问起时,大家也可以装装杯了~~ 例子 背景 在package.json中,vue的版本是^2.6.14。 "vue": "^2.6.14", ^的意思是,假如过几天Vue在大版本 2下更新了小版本 2.6.15,那么当你npm install时Vue会自动升级为2.6.15 引.
package-lock.json,深度内容
a11979的博客
02-13 1490
package-lock.json 的重要性
详解package.jsonpackage-lock.json
苏纯的博客
10-24 1万+
package.jsonpackage-lock.json
关于package-lock
最新发布
曲永庆的博客
12-25 1231
最外面的两个属性 name 、version 同 package.json 中的 name 和 version ,用于描述当前包名称和版本。version:包版本 —— 这个包当前安装在 node_modules 中的版本resolved:包具体的安装来源integrity:包 hash 值,基于 SubresourceIntegrity 来验证已安装的软件包是否被改动过、是否已失效。
vue项目中各文件说明
小白_L的博客
04-25 4994
1.vue-cli脚手架初始化项目 2.node+webpack+淘宝镜像 3.node_modules文件夹:项目依赖文件 4.public文件夹:放置静态资源(图片),webpack在打包时会原封不动的打包到dist文件夹中。 5.src文件夹(程序员源代码文件夹): 5.1 assets文件夹:放置静态资源(多个组件共用的静态资源),在webpack打包时会把静态资 源当成模块打包到JS文件中 5.2 components:放置非路由组件(全局组件) ...
package-lock-audit:审核npm package-lock.json是否存在安全问题
05-07
包锁定审核 一个简单的审核/皮棉...用法npx package-lock-audit [--verbose 1] [--nogpl true] [...package-lock.json] 注意:最安全的方法是使用npx调用此二进制文件,并在对项目执行npm i之前执行此操作。 除非您愿意
将yarn.lock转换为package-lock.json,反之亦然-JavaScript开发
05-26
install npm install -g synp命令行用法yarn.lock => package-lock.json yarn#确保node_modules文件夹目录并已更新synp --source-file /path/to/yarn.lock#将创建/ path / to / package-lock.json package-lock....
npm-merge-driver-install:一个软件包,用于在本地自动安装npm-merge-driver
05-17
自动合并package-lock.json冲突的软件包。 很大程度上基于 ,在软件包安装时进行自动设置,并且只有一个小的依赖项来进行ci检查。 用生成的目录 安装 安装运行 npm i --save-dev npm-merge-driver-install 何时...
很多人上来就删除的package-lock.json,还有这么多你不知道的(深度内容)
前端下午茶
03-24 8599
作者:wuwhs原文:https://segmentfault.com/a/11900000396844600. 前言看完本文,你将从整体了解依赖版本锁定原理,package-lock.j...
2022-15 | packagepackage-lock的区别 | npm ci and install | lerna bootstrap --hoist --ci
weixin_41379244的博客
04-16 1329
node.js package.jsonpackage-lock.json的区别 参考文档 https://nodejs.dev/learn/the-package-lock-json-file package-lock.json是为了弥补package.json的一些不足之处。 package.json中记录的包依赖版本信息遵循如下语法: 如果package.json中记录的版本信息格式为~0.13.0,则表示仅允许更新补丁版本(0.13.1),不允许更新小版本(0.14.0) 如果package
package-lock.json文件详解
热爱前端的大三在校生
05-17 3952
在执行npm install下载包的时候,我们会发现目录中会出现package.jsonpackage-lock.json文件,刚好最近我也在研究package的一些东西,对lock文件里的一些字段有点生疏了,写篇文章记录一下lock文件的一些知识。
package.jsonpackage-lock.json
Beam
03-30 3867
一、package.json 定义了当前项目所需要引用的各个模块,可以手工修改配置,也可以删除后,使用npm init命令重新自动生成。 但是该文件只锁定大版本号,也就是版本号的第一位,所以你会发现两个文件中同一个包的版本号不一致,但是第一位一定是一致的。 1、锁定小版本 如需锁定小版本,修改配置文件,去掉版本号前面的小尖尖即可。 "dependencies": { "axios": "^0.21.1", "element-ui": "2.15.1", }, 例如: 此处的axios,若执行npm
package-lock.json的作用、karma配置及使用
ALIX的博客
01-17 1330
package-lock.json的作用 npm 5.0版本之后,npm install后都会有一个package-lock.json,作用是什么? 1、锁定安装时的包的版本号,需要上传到git,保证大家的依赖包一致。 2、package-lock.json是在 `npm install`时候生成一份文件,用来记录当前状态下实际安装的各个npm package的具体来源和版本号。 3、它...
npm install --offline --no-audit --no-save --no-package-lock /path/to/offline-packages
05-30
`npm install --offline` 命令用于在离线模式下安装依赖项,即从本地文件系统中安装依赖项,而不是从npm仓库下载。这对于没有网络连接或需要在多个机器之间共享依赖项的情况非常有用。 `--no-audit` 参数用于禁用npm audit检查,这可以加快安装速度,但也会带来一定的风险。 `--no-save` 参数用于禁止将安装的依赖项添加到package.json文件中。 `--no-package-lock` 参数用于禁用生成package-lock.json文件,这可以加快安装速度。 最后的参数`/path/to/offline-packages`是指向包含依赖项的目录的路径。 因此,完整的命令如下: ``` npm install --offline --no-audit --no-save --no-package-lock /path/to/offline-packages ``` 这将从指定的目录中安装依赖项,并跳过npm audit检查,同时不会将依赖项添加到package.json文件中,也不会生成package-lock.json文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值