目前日常开发时,使用的包管理命令是cnpm。
但是cnpm是依赖 npminstall 的,特性之一是不会生成package-lock.json文件。
cnpm工具 相对于 npm 的特点:
1 速度快
2 node_modules中会生成更多的文件夹
3 不会生成 package-lock.json文件
package-lock.json
理想情况下,依赖包的版本是按照 semver规范 来的,然而实际上有的包可能没有遵循这一原则。
主版本号:当你做了不兼容的 API 修改,
次版本号:当你做了向下兼容的功能性新增,
修订号:当你做了向下兼容的问题修正。
有一种思路是为了迎合第三方库自己的修正,package.json 中对于第三方库的写法如下:
"express": "^4.17.1",
这样可以及时的将第三方库的bugfix等在项目中体现。
另一种思路是为了保持版本稳定不出错,不自动更新第三方库的版本,即使是修订号的更新,这时需要一个文件来存储“这一次”到底安装了哪些依赖。
package-lock.json对依赖的描述如下:
"@ant-design/colors": {
"version": "3.2.2",
"resolved": "http://r.cnpmjs.org/@ant-design/colors/download/@ant-design/colors-3.2.2.tgz",
"integrity": "sha1-WtQ9YZ6RHzSI66wwPWBuZqhCOQM=",
"requires": {
"tinycolor2": "^1.4.1"
}
},
描述范围包括版本、源地址、校验hash和它自身的依赖。指定它们之后可以保证使用该文件安装的副本是完全一样的。
NPM 对 package-lock.json 的策略
1、npm 5.0.x 版本,不管package.json怎么变,npm i 时都会根据lock文件下载
package-lock.json file not updated after package.json file is changed · Issue #16866 · npm/npm
问题:明明手动改了package.json,却不升级包
2、5.1.0版本后 npm install 会无视lock文件 去下载最新的npm
why is package-lock being ignored? · Issue #17979 · npm/npm
问题:lock文件失去意义,无法进行版本锁定
3、5.4.2版本后
如果修改了package.json,且package.json和lock文件不同,在执行npm install时npm会根据package中的版本号以及语义含义去下载最新的包,并更新至lock。
如果在执行npm install时package.json和lock文件相同,则忽略更新版本。
NRM ( NPM registry manager)
一种可以使用npm工具安装淘宝源的方法:
npm install nrm -g
nrm ls
nrm use cnpm
这种情况下速度较快,会生成package-lock.json文件。
Yarn
特点:
- 引入 yarn.lock 文件来管理依赖版本问题,保证每次安装都是一致的。
- 缓存加并行下载保证了安装速度
yarn.lock 与 package-lock.json 的主要区别在于 yarn.lock 中只有一层,而package-lock.json中是嵌套结构。
讨论
1 是否使用lock方案
2 如果要使用lock方案,使用哪种方案?(nrm-taobao source/ yarn / npm / 其它)
3 为保证依赖稳定,是否有其它注意事项?(如统一 node与npm 版本)
网友评论