如果 package-lock.json 锁定它,在 package.json 中声明 "compatible version" (^version) 有什么意义?
What's the point of having a "compatible version" (^version) declared in package.json if package-lock.json locks it?
我知道 package-lock.json 的主要优点,我同意这一点。它不仅会锁定上次安装时下载的版本,还会锁定 uri... 在大多数情况下,这是为了尽可能复制最相似的项目所必需的。
但对我来说似乎很奇怪的一件事是 package.json 具有声明像 dependency: ^1.0.0 这样的依赖项的功能,这应该使 npm 下载该软件包的最新和兼容版本每次安装。
我正在从事一个我确实需要它的项目。否则每次我的依赖项发布补丁时,都需要进行新的提交更新 package.json 仅更改版本,因此我的管道也可以覆盖 package-lock.json.
简而言之,似乎 package.json 使用了一项功能... package-lock.json 阻止了该功能。
我是不是漏掉了什么?
package-lock.json的要点是准确地表示树在某个时间点实际存在,这样克隆项目的人就可以得到完全你拥有的同一棵树。
如果您想将该依赖项升级到更新的版本,只需使用 npm update 然后提交更新后的 package-lock.json。作为获取最新信息的正常过程的一部分,您团队的其他成员将获得该更新。
更多内容在 npmjs.com page on package locks。
让我们考虑这样一种情况,你和我在一个团队中,我们的项目使用 nifty-lib,package.json 说 "nifty-lib": "^0.4.0",我们不共享 package-lock.json.也许我在这个项目上的工作时间比你多几个月,我在安装它时得到了 nifty-lib v0.4.0。但是当你拿起并安装它时,你得到了 v0.4.1(一个错误修复更新,不幸的是,它引入了一个新错误)。在某些时候,您注意到我们项目中的一个错误,但我无法复制它。我们在原地旋转了一会儿,试图弄清楚为什么它会发生在你身上而不是我身上。最后,我们意识到这是因为它实际上是他们在 v0.4.1 中引入的 nifty-lib 中的错误。希望我们随后得到 0.4.2 或其他东西(或者如果没有,我们修复错误并进行 PR,同时在整个项目中回滚到 0.4.0)。
如果我们一直在分享 package-lock.json,我们就不会想知道为什么这个问题发生在你身上而不是我身上,因为你们会有相同版本的 nifty-lib 作为我。作为我们正常周期的一部分,我们会定期执行 npm update,如果在我们的测试中出现新错误,我们会从提交历史记录中知道这是由于依赖项中的错误。
现在,"me" 和 "you" 阅读 "dev" 和 "production"。 :-)
这就是为什么 package-lock.json 锁定版本,但 package.json 让你说 "this or better"。 package-lock.json 让您的团队在版本上保持统一,但您可以有意地使用 npm update 进行更新,它会显示在提交历史记录中,因此您可以追踪到它的回归。
正如我在上面的评论中提到的那样,简短的回答是它使 update 更容易建立依赖项。
然而,我喜欢考虑这两个文件的另一种方式是:package.json 是人类阅读的文件,而 package-lock.json是电脑读取的文件。
NPM is a package / dependency manager. So, in your package.json file, you write out "these libraries are needed for my library to work." As a feature, you have a range of versions you can list a dependency at. This helps when you run npm update 在特定包上。它会查看与您的 *package.json** 匹配的最新版本,并更新您的锁定文件。
package-lock.json 锁文件很有用,因为它详细描述了您的 node_modules/ 文件夹的外观就像这样,当其他人安装您的库时,它可以准确地重新创建。此外,由于此文件是自动生成的,您不必担心维护它。
当然,所有这些恰好是 NPM 的处理方式(反过来 most package managers)也是如此。也就是说,没有技术原因我们不能用一个文件来描述 运行 更新时允许的版本范围,以及一个详细的锁文件部分,该部分固定版本以允许可重新创建的依赖关系树.
基本上,这只是一种方便。您有一个文件可以简洁地列出您的项目需要的依赖项。它可读且易于更新。另一个文件,锁文件,是自动生成的,并确保每个 npm install 给你与以前完全相同的 node_modules/ 文件夹。
我知道 package-lock.json 的主要优点,我同意这一点。它不仅会锁定上次安装时下载的版本,还会锁定 uri... 在大多数情况下,这是为了尽可能复制最相似的项目所必需的。
但对我来说似乎很奇怪的一件事是 package.json 具有声明像 dependency: ^1.0.0 这样的依赖项的功能,这应该使 npm 下载该软件包的最新和兼容版本每次安装。
我正在从事一个我确实需要它的项目。否则每次我的依赖项发布补丁时,都需要进行新的提交更新 package.json 仅更改版本,因此我的管道也可以覆盖 package-lock.json.
简而言之,似乎 package.json 使用了一项功能... package-lock.json 阻止了该功能。
我是不是漏掉了什么?
package-lock.json的要点是准确地表示树在某个时间点实际存在,这样克隆项目的人就可以得到完全你拥有的同一棵树。
如果您想将该依赖项升级到更新的版本,只需使用 npm update 然后提交更新后的 package-lock.json。作为获取最新信息的正常过程的一部分,您团队的其他成员将获得该更新。
更多内容在 npmjs.com page on package locks。
让我们考虑这样一种情况,你和我在一个团队中,我们的项目使用 nifty-lib,package.json 说 "nifty-lib": "^0.4.0",我们不共享 package-lock.json.也许我在这个项目上的工作时间比你多几个月,我在安装它时得到了 nifty-lib v0.4.0。但是当你拿起并安装它时,你得到了 v0.4.1(一个错误修复更新,不幸的是,它引入了一个新错误)。在某些时候,您注意到我们项目中的一个错误,但我无法复制它。我们在原地旋转了一会儿,试图弄清楚为什么它会发生在你身上而不是我身上。最后,我们意识到这是因为它实际上是他们在 v0.4.1 中引入的 nifty-lib 中的错误。希望我们随后得到 0.4.2 或其他东西(或者如果没有,我们修复错误并进行 PR,同时在整个项目中回滚到 0.4.0)。
如果我们一直在分享 package-lock.json,我们就不会想知道为什么这个问题发生在你身上而不是我身上,因为你们会有相同版本的 nifty-lib 作为我。作为我们正常周期的一部分,我们会定期执行 npm update,如果在我们的测试中出现新错误,我们会从提交历史记录中知道这是由于依赖项中的错误。
现在,"me" 和 "you" 阅读 "dev" 和 "production"。 :-)
这就是为什么 package-lock.json 锁定版本,但 package.json 让你说 "this or better"。 package-lock.json 让您的团队在版本上保持统一,但您可以有意地使用 npm update 进行更新,它会显示在提交历史记录中,因此您可以追踪到它的回归。
正如我在上面的评论中提到的那样,简短的回答是它使 update 更容易建立依赖项。
然而,我喜欢考虑这两个文件的另一种方式是:package.json 是人类阅读的文件,而 package-lock.json是电脑读取的文件。
NPM is a package / dependency manager. So, in your package.json file, you write out "these libraries are needed for my library to work." As a feature, you have a range of versions you can list a dependency at. This helps when you run npm update 在特定包上。它会查看与您的 *package.json** 匹配的最新版本,并更新您的锁定文件。
package-lock.json 锁文件很有用,因为它详细描述了您的 node_modules/ 文件夹的外观就像这样,当其他人安装您的库时,它可以准确地重新创建。此外,由于此文件是自动生成的,您不必担心维护它。
当然,所有这些恰好是 NPM 的处理方式(反过来 most package managers)也是如此。也就是说,没有技术原因我们不能用一个文件来描述 运行 更新时允许的版本范围,以及一个详细的锁文件部分,该部分固定版本以允许可重新创建的依赖关系树.
基本上,这只是一种方便。您有一个文件可以简洁地列出您的项目需要的依赖项。它可读且易于更新。另一个文件,锁文件,是自动生成的,并确保每个 npm install 给你与以前完全相同的 node_modules/ 文件夹。