极客时间对于推广渠道会有返利优惠，比如山月在极客时间买了一门课，再把课程分享给好友购买，这时极客时间会向山月返利20元左右。

而我现在做了一个返利平台，你可以在上边通过山月的链接购买课程，此时极客时间会向我返利。为了共同学习，而你可以添加我的微信 (shanyue94)，我将把极客时间给我的返利发一个红包全部返给你。

# package-lock.json 有什么作用，如果项目中没有它会怎么样，举例说明

Issue

欢迎在 Issue 中交流与讨论: Issue 196 (opens new window)

Author

用以锁定版本号，保证开发环境与生产环境的一致性，避免出现不兼容 API 导致生产环境报错

在这个问题之前，需要了解下什么是 semver: 什么是 semver (opens new window)

当我们在 npm i 某个依赖时，默认的版本号是最新版本号 ^1.2.3，以 ^ 开头可最大限度地使用新特性，但是某些库不遵循该依赖可能出现问题

我们看没有 lock 时，线上环境的风险是如何产生的

pkg 1.2.3: 首次在开发环境安装 pkg 库，为此时最新版本 1.2.3，dependencies 依赖中显示 ^1.2.3，实际安装版本为 1.2.3
pkg 1.19.0: 在生产环境中上线项目，安装 pkg 库，此时最新版本为 1.19.0，满足 dependencies 中依赖 ^1.2.3 范围，实际安装版本为 1.19.0，但是 pkg 未遵从 semver 规范，在此过程中引入了 Breaking Change，导致线上bug，且不可测难以调试

而当有了 lock 文件时，每一个依赖的版本号都被锁死在了 lock 文件，每次依赖安装的版本号都从 lock 文件中进行获取，避免了不可测的依赖风险

但此时依然有问题: 你使用的第三方库的 lockfile 问题。因为你自己项目中所有依赖都会被锁死，但并不是依照你第三方依赖的 lockfile。

举例说明依赖的依赖的 lockfile 可能存在的问题

你自己的项目依赖 react，而 object-assign 是 react 的依赖

对于 React 的依赖使用 semver 表示如下

在 React 的第三方库中 lockfile 中的库版本为

而在业务项目中 lockfile 中的库版本为

此时的 object-assign 有可能会存在问题

关于山月

我的项目：

我的微信：shanyue94，欢迎交流