npm shrinkwrap 与 package-lock
从开搞到文章结束过了一个月……所以……看看就行
前两天在一个群里看到一个问题,有人问「yarn 能不能人工锁版本号」,刚开始我们都没有理解,觉得明明直接用 yarn
或者 yarn install
就能生成 lock 文件,为什么要人工生成。
于是被介绍了一个 npm shrinkwrap
,这是在 package-lock 出现之前就有的项目依赖锁定工具,实际上效果和 package-lock 差不多,唯一的不同是:npm shrinkwrap
是手动生成的。同样的,在更新包、删除包时也需要在完成后手动使用 npm shrinkwrap
。
在现代的版本中,如果两者同时存在,那么会优先取 shrinkwrap:
This command installs a package, and any packages that it depends on. If the package has a package-lock or shrinkwrap file, the installation of dependencies will be driven by that, with an npm-shrinkwrap.json taking precedence if both files exist. See package-lock.json and npm-shrinkwrap.
但是,yarn 玩家就没有这么幸运了:
yarn install
会默认创建 yarn.lock,但是同时,却并没有给一个 shrinkwrap 一样的命令创建更高优先级的手动锁定。
如果需要这一效果,可能你就需要配合 npm script 自己进行维护:
yarn install --pure-lockfile # 不生成配置文件
yarn install # 生成配置文件
植入部分
如果您觉得文章不错,可以通过赞助支持我。
如果您不希望打赏,也可以通过关闭广告屏蔽插件的形式帮助网站运作。