随着npm@5发布,除非已经存在npm-shrinkwrap.json,否则它将会写入一个package-lock.json。
我通过以下方式全局安装了npm@5:
npm install npm@5 -g
现在,在以下情况下,如果找到 npm-shrinkwrap.json:
npm install
会打印出一个警告:
npm WARN read-shrinkwrap This version of npm
is compatible with lockfileVersion@1,
but npm-shrinkwrap.json was generated for lockfileVersion@0.
I'll try to do my best with it!
我的结论是,我应该将shrinkwrap替换为package-lock.json。
但是,为什么会有一个新的格式呢?package-lock.json相对于npm-shrinkwrap.json有哪些优势呢?
这些文件的内容完全相同,但 npm 在处理它们时有一些差异,其中大部分都在文档页面:package-lock.json 和 npm-shrinkwrap.json 中有说明:
package-lock.json 从不发布到 npm 上,而 npm-shrinkwrap 则默认会发布package-lock.json 文件将被忽略,但属于依赖项的 shrinkwrap 文件将受到尊重npm-shrinkwrap.json 向后兼容 npm 版本 2、3 和 4,而只有 npm 5+ 才能识别 package-lock.json您可以通过运行 npm shrinkwrap 来将现有的 package-lock.json 转换为 npm-shrinkwrap.json。
因此:
如果您不打算将您的包发布到 npm 上,则在这两个文件之间进行选择并没有多大影响。您可能希望使用 package-lock.json,因为它是默认值,对于初学者来说其名称更清晰;或者,如果您很难确保开发团队中的每个人都在 npm 5+ 上,您可能希望使用 npm-shrinkwrap.json 来实现与 npm 2-4 向后兼容。 (请注意,npm 5 于 2017 年 5 月 25 日发布;向后兼容性将越来越不重要,因为大多数人最终都会升级。)
如果您要发布您的包到 npm 上,则可以选择:
package-lock.json 记录您安装的依赖项的确切版本,但允许安装您的包的人使用与由您的 package.json 指定的版本范围兼容的任何版本的依赖项,或者npm-shrinkwrap.json来确保所有安装你的包的人都获得完全相同版本的所有依赖项
官方文档中描述,选项1应该用于库(可能是为了减少在许多包的依赖项都依赖于略有不同版本的相同次要依赖项时造成的包重复量),但对于将被全局安装的可执行文件,选项2可能是合理的。
这个想法肯定是让 package-lock.json 成为最新和最伟大的缩小包技术,而 npm-shrinkwrap.json 则保留给那些非常关心他们的库是否有精确 node_modules 的宝贵少数人以及想要使用 npm@>=2 进行 CI 安装特定树木而不必提高其 npm 版本的人。
新的锁定文件("package-lock.json")基本上与 npm-shrinkwrap 具有完全相同的代码、完全相同的格式(可以在它们之间重命名!)。这也是社区似乎理解的东西:"它有一个锁定文件"似乎更容易被人们接受。最后,有一个新文件意味着我们可以相对低风险地向后兼容缩小包,而不必像父帖子中提到的那样做一些奇怪的事情,比如允许发布。
npm-shrinkwrap用于精确锁定node_modules......那么我认为package-lock.json锁定的就不是非常精确?如果是这样,那么npm-shrinkwrap锁定了什么而package-lock.json没有锁定的呢? - dmanpackage-lock.json 的版本仅通过 npm ci 命令来保证(因为如果在使用 npm install 命令时,与 package.json 冲突,它会覆盖 package-lock.json)。
npm-shrinkwrap.json 的版本可以通过 npm ci 和 npm install 命令来保证。
npm init --yes && npm install lodash && npm shrinkwrap。现在,在package.json中修改"lodash": "^4.17.21"(或者如果你是在未来进行此操作,则修改为你看到的更高版本),将其改为"lodash": "3.0.0"。现在运行npm install;观察输出中的"changed 1 package"消息。检查你的npm-shrinkwrap.json,你会发现它已经被更新为指定Lodash的版本3.0.0,而不是之前安装的任何版本。 - undefinednpm-shrinkwrap文件按照这个答案描述的方式工作,我真的不确定你该如何处理它。如果npm install不会写入shrinkwrap文件,那么更新依赖版本的工作流程会是什么样子呢?随着依赖关系的变化,更新锁定文件是开发过程中必不可少的一部分。如果你的回答是准确的,那么使用Shrinkwrap文件时,这种必要的行为将不会得到支持。 - undefined
package-lock.json,然后如果你将该库安装为其他包的依赖项,NPM 将忽略该库的package-lock.json。但是,如果一个库发布了npm-shrinkwrap.json,并且你将该库安装为一个依赖项,那么你还将作为次要依赖项安装库中npm-shrinkwrap.json中指定的所有依赖项的确切版本。 - Mark Amerynpm ci来确保package-lock.json只读安装。(npm install会改变package-lock.json,可能会引起混乱和潜在的错误,并且不能充分利用package-lock.json本身。) - k0pernikusnpm ci如何处理npm-shrinkwrap.json和package-lock.json没有任何区别 - 这与这个问题关于这两个文件的区别有什么关系呢?此外,阅读了一些资料后:我认为自从 npm 5.4 版本以来,"npm install... 不会利用package-lock.json" 的说法是错误的 - 我相信npm install现在会尊重你的package-lock,除非它与你的package.json明显不兼容,在这种情况下,以后者为准。(但我已经离开 JavaScript 领域有一段时间了 - 我错过了什么吗?) - Mark Amery