npm shrinkwrap 与 package-lock

从开搞到文章结束过了一个月……所以……看看就行

前两天在一个群里看到一个问题，有人问「yarn 能不能人工锁版本号」，刚开始我们都没有理解，觉得明明直接用 yarn 或者 yarn install 就能生成 lock 文件，为什么要人工生成。

于是被介绍了一个 npm shrinkwrap，这是在 package-lock 出现之前就有的项目依赖锁定工具，实际上效果和 package-lock 差不多，唯一的不同是：npm shrinkwrap 是手动生成的。同样的，在更新包、删除包时也需要在完成后手动使用 npm shrinkwrap。

在现代的版本中，如果两者同时存在，那么会优先取 shrinkwrap：

This command installs a package, and any packages that it depends on. If the package has a package-lock or shrinkwrap file, the installation of dependencies will be driven by that, with an npm-shrinkwrap.json taking precedence if both files exist. See package-lock.json and npm-shrinkwrap.

但是，yarn 玩家就没有这么幸运了：

yarn install 会默认创建 yarn.lock，但是同时，却并没有给一个 shrinkwrap 一样的命令创建更高优先级的手动锁定。

如果需要这一效果，可能你就需要配合 npm script 自己进行维护：

yarn install --pure-lockfile # 不生成配置文件
yarn install # 生成配置文件