npm shrinkwrap 与 package-lock

从开搞到文章结束过了一个月……所以……看看就行

前两天在一个群里看到一个问题,有人问「yarn 能不能人工锁版本号」,刚开始我们都没有理解,觉得明明直接用 yarn 或者 yarn install 就能生成 lock 文件,为什么要人工生成。

于是被介绍了一个 npm shrinkwrap,这是在 package-lock 出现之前就有的项目依赖锁定工具,实际上效果和 package-lock 差不多,唯一的不同是:npm shrinkwrap 是手动生成的。同样的,在更新包、删除包时也需要在完成后手动使用 npm shrinkwrap

在现代的版本中,如果两者同时存在,那么会优先取 shrinkwrap:

This command installs a package, and any packages that it depends on. If the package has a package-lock or shrinkwrap file, the installation of dependencies will be driven by that, with an npm-shrinkwrap.json taking precedence if both files exist. See package-lock.json and npm-shrinkwrap.

但是,yarn 玩家就没有这么幸运了:

yarn install 会默认创建 yarn.lock,但是同时,却并没有给一个 shrinkwrap 一样的命令创建更高优先级的手动锁定。

如果需要这一效果,可能你就需要配合 npm script 自己进行维护:

yarn install --pure-lockfile # 不生成配置文件
yarn install # 生成配置文件

如果您觉得文章不错,可以通过赞助支持我

标签: 知识

添加新评论