专栏首页Super 前端npm-shrinkwrap锁定依赖

npm-shrinkwrap锁定依赖

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。

本文链接:https://ligang.blog.csdn.net/article/details/82153179

写在前面

npm采用语义化的版本号 semver 进行控制,让开发过程中依赖的获取和升级变得非常容易,但不严格的版本号控制,也带来了不确定性~~

  • npm 建议使用semver版本,部分包不遵循semver;
  • package.json 可以使用精确的版本号控制你的直接依赖包,但第三方依赖的包无法管理;
  • 在开发阶段执行得到的版本,和后续部署时得到的可能是不一致的,更不可控的是,你依赖的第三方包也有这样的情况会导致潜在的上线风险。

目前主流的版本控制使用的是 semver 语义化版本。即,X.Y.Z (主版本号.次版本号.修订号)

  • 主版本号:当你做了不兼容的 API 修改
  • 次版本号:当你做了向下兼容的功能性新增
  • 修订号:当你做了向下兼容的问题修正

也可以将先行版本号及版本编译信息可以加到“主版本号.次版本号.修订号”的后面,作为延伸。(v1.2.2-beta)

# 查看当前哪些包需要更新
$ npm outdated -g -depth=0

Package

Current

Wanted

Latest

webpack

4.6.0

4.17.1

4.17.1

pm2

2.6.1

2.10.4

3.0.4

commitizen

2.9.6

2.10.1

2.10.1

安装依赖

npm install 会生成 package.json,以及 node_modules (依赖树)。

同一套 package.json 生成相同的 node_modules 吗?实际情况并非如此!

  • 不同的npm版本,安装算法可能存在差异;
  • 依赖包发布了新 semver-range 版本;
  • 某个依赖项的依赖发布了新版本,且其使用 ^1.2.3 方式,即使你的项目中制定了固定版本;
  • 安装的版本不在可用,或出现版本变异。

锁定依赖

默认情况下,当用 --save/-S 或者 --save-dev/-D 安装一个模块时,npm 通过脱字符(^)来限定所安装模块的主版本号。

方式一:prefix控制

符号

当运行 npm update 时,情况说明

备注

^1.5.1

【限制主版本号】允许安装版本号大于 1.5.1 但小于 2.0.0 版本的模块

默认

~1.5.1

【限制次要版本】 允许安装版本号大于 1.5.1 但小于 1.6.0 版本的模块

npm config set save-prefix="~"

1.5.1

【精确控制】允许安装版本号大于 1.5.1

npm config set save-exact true

所以,我们可以将需要安装的模块版本前缀默认设置成波浪号(~);对于那些偏执的认为任何更新(模块的行为)会破坏系统的人,可以配置npm仅安装精确版本号的模块。

方式二:shrinkwrap

另一个选择是,可以在项目中使用 shrinkwrap,在开发阶段依赖稳定后,运行如下命令:

npm shrinkwrap
npm shrinkwrap--dev # 将dev-dependencies计算在内

这会生成一个 shrinkwrap.json 文件,该文件包含了你正在使用的模块的指定版本。当运行 npm install时,该文件所指定的模块版本会覆盖 package.json 文件中所指定的版本。

注意问题:

  • shrinkwrap计算时是根据当前依赖安装的目录结构生成的,如果你不能保证package.json文件定义的依赖与node_modules下已安装的依赖是匹配、无冗余的,建议在执行shrinkwrap命令前清理依赖并重新安装(rm -rf node_modules && npm install)或精简依赖(npm prune)
  • 默认情况下,shrinkwrap只计算dependencies依赖,而不计算dev-dependencies,如果在生产环境也需要开发依赖或你的依赖分类不清晰,使用--dev参数生成shrinkwrap文件确保不会出问题。

增加、更新、删除包的步骤如下: 第一步: 安装指定版本包 npm install/uninstall package_name@version --save第二步: 测试功能,功能正常后,执行 npm shrinkwrap 把依赖写入 shrinkwrap 文件; 第三步: 在代码库中提交 shrinkwrap / package.json 描述。

版本控制

package-lock.json

对于 node_modules 或 package.json 的任何修改,都会自动生成 package-lock.json。它描述了生成的确切树,以便后续安装能够生成相同的树,而不管中间依赖性更新

shrinkwrap.json

为防止出现这种潜在问题,npm使用 package-lock.jsonnpm-shrinkwrap.json(如果存在)。这些文件称为包锁或锁文件。

{
  "name": "A",
  "version": "0.1.0",
  ...metadata fields...
  "dependencies": {
    "B": {
      "version": "0.0.1",
      "resolved": "https://registry.npmjs.org/B/-/B-0.0.1.tgz",
      "integrity": "sha512-DeAdb33F+"
      "dependencies": {
        "C": {
          "version": "git://github.com/org/C.git#5c380ae319fc4efe9e7f2d9c78b0faa588fd99b4"
        }
      }
    }
  }
}

该文件描述了一个精确的、可重现的 node_modules 树。一旦它出现,任何未来的安装将基于此文件的工作,而不是从 package.json 重新计算依赖版本。此外,如果 package-lock.jsonnpm-shrinkwrap.json 都存在于包根目录中,则将忽略 package-lock.json

npm installnpm rmnpm update 等都将自动同步现有的锁文件。为了防止发生这种更新,你可以使用--no-save 选项来防止完全保存,或者 --no-shrinkwrap 允许更新 package.json 保留 package-lock.jsonnpm-shrinkwrap.json

注意:强烈建议库作者不要发布此文件,因为这会阻止最终用户控制传递依赖性更新。

问题补充

npm@5、npm@6 版本对于 requires 机制差异!(下图左侧npm@5,右侧npm@6)

是由于官方对其处理方式做了变更: 相关社区讨论:https://npm.community/t/package-lock-json-contains-dynamic-version/6080/9 相关ChangeLog说明:https://github.com/npm/cli/blob/latest/CHANGELOG.md#new-features-7

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 发布项目到NPM

    版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。

    奋飛
  • npm模块管理器

    npm不需要单独安装。在安装node的时候,会连带一起安装npm。但是,node附带的npm可能不是最新版本,最好用下面的命令,更新到最新版本。

    奋飛
  • Event loop 及 macrotask & microtask

    版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://ligang.blog....

    奋飛
  • DRF框架中的英文单词

    1. prefix/'prifɪks/前缀,我们在路由配置的时候经常看见这个单词。在flask中,我们可以在设置url的时候为了区别视图,在类似功能的url全部...

    小闫同学啊
  • ElasticSearch实战:Kibana可视化

    数据可视化是kibana的重要功能之一,相关用法可以参考官网文档:

    BH8ANK
  • python下的excel表格处理 内含面试题

    xlrd是python中一个第三方的用于读取excle表格的模块,很多企业在没有使用计算机管理前大多使用表格来管理数据,所以导入表格还是非常常用的!

    诸葛青云
  • 只知道ajax?你已经out了

    随着前端技术的发展,请求服务器数据的方法早已不局限于ajax、jQuery的ajax方法。各种js库已如雨后春笋一般,蓬勃发展,本文主要想介绍其中的axios和...

    前端林子
  • Windows下Nginx+Mysql+Php(wnmp)环境搭建

    前言  最近想在windows下使用nginx搭建web环境,本来想用套件(WNMP)一键安装,但后来放弃了,觉得还是自己动手,丰衣足食的好,而且套件的局限性太...

    joshua317
  • 走在专家的路上,每天一条SQL优化(3)

    小编寄语:本系列分享的SQL优化实例,并不一定适用于所有相似SQL或所有场景。我们只是介绍一种方法,当你再次遇到类似SQL,可以根据真实场景,选择最适合的方案。...

    数据和云
  • Spring Cloud微服务如何设计异常处理机制?

    今天和大家聊一下在采用Spring Cloud进行微服务架构设计时,微服务之间调用时异常处理机制应该如何设计的问题。我们知道在进行微服务架构设计时,一个微服务一...

    Java_老男孩

扫码关注云+社区

领取腾讯云代金券