package-lock.json 有什么作用,如果项目中没有它会怎么样,举例说明
Issue 欢迎在 Gtihub Issue 中回答此问题: Issue 196
Author 回答者: shfshanyue
packagelock.json
/yarn.lock
用以锁定版本号,保证开发环境与生产环境的一致性,避免出现不兼容 API 导致生产环境报错
在这个问题之前,需要了解下什么是 semver
: 什么是 semver。
当我们在 npm i
某个依赖时,默认的版本号是最新版本号 ^1.2.3
,以 ^
开头可最大限度地使用新特性,但是某些库不遵循该依赖可能出现问题。
^1.2.3
指 >=1.2.3 <2.0.0,可查看 semver checker
一个问题: 当项目中没有 lock 文件时,生产环境的风险是如何产生的?
演示风险过程如下:
pkg 1.2.3
: 首次在开发环境安装 pkg 库,为此时最新版本1.2.3
,dependencies
依赖中显示^1.2.3
,实际安装版本为1.2.3
pkg 1.19.0
: 在生产环境中上线项目,安装 pkg 库,此时最新版本为1.19.0
,满足dependencies
中依赖^1.2.3
范围,实际安装版本为1.19.0
,但是pkg
未遵从 semver 规范,在此过程中引入了 Breaking Change,如何此时1.19.0
有问题的话,那生产环境中的1.19.0
将会导致 bug,且难以调试
而当有了 lock 文件时,每一个依赖的版本号都被锁死在了 lock 文件,每次依赖安装的版本号都从 lock 文件中进行获取,避免了不可测的依赖风险。
pkg 1.2.3
: 首次在开发环境安装 pkg 库,为此时最新版本1.2.3
,dependencies
依赖中显示^1.2.3
,实际安装版本为1.2.3
,在 lock 中被锁定版本号pkg 1.2.3
: 在生产环境中上线项目,安装 pkg 库,此时 lock 文件中版本号为1.2.3
,符合dependencies
中^1.2.3
的范围,将在生产环境安装1.2.3
,完美上线。