package-lock.json 有什么作用，如果项目中没有它会怎么样，举例说明

Issue 欢迎在 Gtihub Issue 中回答此问题: Issue 196

Author 回答者: shfshanyue

packagelock.json/yarn.lock 用以锁定版本号，保证开发环境与生产环境的一致性，避免出现不兼容 API 导致生产环境报错

在这个问题之前，需要了解下什么是 semver: 什么是 semver。

当我们在 npm i 某个依赖时，默认的版本号是最新版本号 ^1.2.3，以 ^ 开头可最大限度地使用新特性，但是某些库不遵循该依赖可能出现问题。

^1.2.3 指 >=1.2.3 <2.0.0，可查看 semver checker

一个问题: 当项目中没有 lock 文件时，生产环境的风险是如何产生的?

演示风险过程如下:

1. pkg 1.2.3: 首次在开发环境安装 pkg 库，为此时最新版本 1.2.3，dependencies 依赖中显示 ^1.2.3，实际安装版本为 1.2.3
2. pkg 1.19.0: 在生产环境中上线项目，安装 pkg 库，此时最新版本为 1.19.0，满足 dependencies 中依赖 ^1.2.3 范围，实际安装版本为 1.19.0，但是 pkg 未遵从 semver 规范，在此过程中引入了 Breaking Change，如何此时 1.19.0 有问题的话，那生产环境中的 1.19.0 将会导致 bug，且难以调试

而当有了 lock 文件时，每一个依赖的版本号都被锁死在了 lock 文件，每次依赖安装的版本号都从 lock 文件中进行获取，避免了不可测的依赖风险。

1. pkg 1.2.3: 首次在开发环境安装 pkg 库，为此时最新版本 1.2.3，dependencies 依赖中显示 ^1.2.3，实际安装版本为 1.2.3，在 lock 中被锁定版本号
2. pkg 1.2.3: 在生产环境中上线项目，安装 pkg 库，此时 lock 文件中版本号为 1.2.3，符合 dependencies 中 ^1.2.3 的范围，将在生产环境安装 1.2.3，完美上线。