Tôi có cam kết tệp gói-lock.json được tạo bởi npm 5 không?

npm 5 đã được phát hành hôm nay và một trong những tính năng mới bao gồm cài đặt xác định với việc tạo package-lock.jsontệp.

Là tập tin này được cho là được giữ trong kiểm soát nguồn?

Tôi cho rằng nó tương tự yarn.lockvà composer.lock, cả hai đều được cho là được kiểm soát nguồn.

Có, package-lock.jsondự định sẽ được kiểm tra vào kiểm soát nguồn. Nếu bạn đang sử dụng npm 5, bạn có thể thấy điều này trên dòng lệnh: created a lockfile as package-lock.json. You should commit this file.Theo npm help package-lock.json:

package-lock.jsonđược tạo tự động cho bất kỳ hoạt động nào trong đó npm sửa đổi node_modulescây hoặc package.json. Nó mô tả cây chính xác đã được tạo, sao cho các lần cài đặt tiếp theo có thể tạo các cây giống hệt nhau, bất kể cập nhật phụ thuộc trung gian.

Tập tin này được dự định cam kết vào kho lưu trữ nguồn và phục vụ các mục đích khác nhau:

• Mô tả một đại diện duy nhất của cây phụ thuộc sao cho đồng đội, triển khai và tích hợp liên tục được đảm bảo để cài đặt chính xác các phụ thuộc giống nhau.

• Cung cấp một phương tiện để người dùng "du hành thời gian" đến các trạng thái trước đó node_modulesmà không phải cam kết thư mục đó.

• Để tạo điều kiện cho tầm nhìn thay đổi cây lớn hơn thông qua các điều khiển nguồn khác nhau có thể đọc được.

• Và tối ưu hóa quá trình cài đặt bằng cách cho phép npm bỏ qua các độ phân giải siêu dữ liệu lặp lại cho các gói được cài đặt trước đó.

Một chi tiết quan trọng package-lock.jsonlà nó không thể được công bố và nó sẽ bị bỏ qua nếu được tìm thấy ở bất kỳ nơi nào khác ngoài gói toplevel. Nó chia sẻ một định dạng với npm-shrwrap.json (5), về cơ bản là cùng một tệp, nhưng cho phép xuất bản. Điều này không được khuyến khích trừ khi triển khai một công cụ CLI hoặc sử dụng quy trình xuất bản để sản xuất các gói sản xuất.

Nếu cả hai package-lock.jsonvà npm-shrinkwrap.jsonhiện diện trong thư mục gốc của gói, package-lock.jsonsẽ bị bỏ qua hoàn toàn.

Có, nó dự định được kiểm tra. Tôi muốn đề xuất rằng nó có được cam kết duy nhất của riêng mình. Chúng tôi thấy rằng nó thêm rất nhiều tiếng ồn cho khác biệt của chúng tôi.

Có, bạn NÊN:

1. cam kết package-lock.json.
2. sử dụng npm cithay vìnpm install khi xây dựng các ứng dụng của bạn cả trên CI và máy phát triển cục bộ của bạn

Quy npm citrình công việc đòi hỏi sự tồn tại của a package-lock.json.

Một nhược điểm lớn của npm installlệnh là hành vi không mong muốn của nó có thể làm thay đổi package-lock.json, trong khi npm cichỉ sử dụng các phiên bản được chỉ định trong tệp khóa và tạo ra lỗi

• nếu package-lock.jsonvà package.jsonkhông đồng bộ
• nếu a package-lock.jsonbị thiếu

Do đó, chạy npm installcục bộ, đặc biệt. trong các nhóm lớn hơn có nhiều nhà phát triển, có thể dẫn đến nhiều xung đột trong package-lock.jsonvà các nhà phát triển quyết định xóa hoàn toàn package-lock.jsonthay thế.

Tuy nhiên, có một trường hợp sử dụng mạnh mẽ để có thể tin tưởng rằng các phụ thuộc của dự án giải quyết lặp lại theo cách đáng tin cậy trên các máy khác nhau.

Từ một package-lock.jsonbạn nhận được chính xác rằng: một trạng thái làm việc được biết đến.

Trước đây, tôi có các dự án không có package-lock.json/ npm-shrinkwrap.json/ yarn.locktệp mà quá trình xây dựng sẽ thất bại một ngày vì một phụ thuộc ngẫu nhiên có một bản cập nhật phá vỡ.

Những vấn đề đó rất khó giải quyết vì đôi khi bạn phải đoán phiên bản làm việc cuối cùng là gì.

Nếu bạn muốn thêm một phụ thuộc mới, bạn vẫn chạy npm install {dependency}. Nếu bạn muốn nâng cấp, hãy sử dụng npm update {dependency}hoặc npm install ${dependendency}@{version}và cam kết thay đổi package-lock.json.

Nếu nâng cấp thất bại, bạn có thể trở lại hoạt động đã biết cuối cùng package-lock.json.

Để trích dẫn tài liệu npm :

Rất khuyến khích bạn cam kết khóa gói được tạo để kiểm soát nguồn: điều này sẽ cho phép bất kỳ ai khác trong nhóm của bạn, triển khai, tích hợp liên tục / CI của bạn và bất kỳ ai khác chạy cài đặt npm trong nguồn gói của bạn để có được cây phụ thuộc chính xác như nhau mà bạn đang phát triển Ngoài ra, các khác biệt từ những thay đổi này đều có thể đọc được và sẽ thông báo cho bạn về bất kỳ thay đổi nào mà npm đã thực hiện đối với node_modules của bạn, vì vậy bạn có thể nhận thấy nếu có bất kỳ phụ thuộc bắc cầu nào được cập nhật, nâng lên, v.v.

Và liên quan đến sự khác biệt giữa npm civsnpm install :

• Dự án phải có gói-lock.json hoặc npm-shrwrap.json hiện có.
• Nếu các phụ thuộc trong khóa gói không khớp với các gói trong gói.json, npm cisẽ thoát với một lỗi, thay vì cập nhật khóa gói.
• npm ci chỉ có thể cài đặt toàn bộ dự án tại một thời điểm: không thể thêm các phụ thuộc riêng lẻ bằng lệnh này.
• Nếu một node_modulesđã có sẵn, nó sẽ tự động bị xóa trước khi npm cibắt đầu cài đặt.
• Nó sẽ không bao giờ ghi vào package.jsonhoặc bất kỳ khóa nào: các bản cài đặt về cơ bản bị đóng băng.

Lưu ý: Tôi đã đăng một câu trả lời tương tự ở đây

Có, cách thực hành tốt nhất là đăng ký (CÓ, KIỂM TRA)

Tôi đồng ý rằng nó sẽ gây ra nhiều tiếng ồn hoặc xung đột khi nhìn thấy khác biệt. Nhưng lợi ích là:

1. đảm bảo chính xác cùng một phiên bản của mỗi gói . Phần này là quan trọng nhất khi xây dựng trong các môi trường khác nhau tại các thời điểm khác nhau. Bạn có thể sử dụng ^1.2.3trong của mình package.json, nhưng làm thế nào bạn có thể đảm bảo mỗi lần npm installsẽ nhận được cùng một phiên bản trong máy dev của bạn và trong máy chủ xây dựng, đặc biệt là các gói phụ thuộc gián tiếp? Vâng, package-lock.jsonsẽ đảm bảo rằng. (Với sự giúp đỡ trong npm ciđó cài đặt các gói dựa trên tệp khóa)
2. nó cải thiện quá trình cài đặt.
3. nó giúp với tính năng kiểm toán mới npm audit fix(tôi nghĩ rằng tính năng kiểm toán là từ npm phiên bản 6).

Tôi không cam kết tập tin này trong các dự án của tôi. Vấn đề ở đây là gì ?

1. Nó được tạo ra
2. Đó là nguyên nhân gây ra lỗi toàn vẹn mã SHA1 trong gitlab với các bản dựng gitlab-ci.yml

Mặc dù đúng là tôi không bao giờ sử dụng ^ trong gói.json của mình cho lib vì tôi có trải nghiệm xấu với nó.

Để mọi người phàn nàn về tiếng ồn khi làm git diff:

git diff -- . ':(exclude)*package-lock.json' -- . ':(exclude)*yarn.lock'

Những gì tôi đã làm là sử dụng một bí danh:

alias gd="git diff --ignore-all-space --ignore-space-at-eol --ignore-space-change --ignore-blank-lines -- . ':(exclude)*package-lock.json' -- . ':(exclude)*yarn.lock'"

Để bỏ qua gói-lock.json trong diffs cho toàn bộ kho lưu trữ (mọi người sử dụng nó), bạn có thể thêm phần này vào .gitattributes:

package-lock.json binary
yarn.lock binary

Điều này sẽ dẫn đến các khác biệt hiển thị "Tệp nhị phân a / pack-lock.json và b / pack-lock.json khác nhau bất cứ khi nào tệp khóa gói được thay đổi. Ngoài ra, một số dịch vụ Git (đặc biệt là GitLab, nhưng không phải GitHub) cũng sẽ loại trừ các tệp này (không thay đổi thêm 10k dòng!) từ các khác biệt khi xem trực tuyến khi thực hiện việc này.

Có, bạn có thể cam kết tập tin này. Từ các tài liệu chính thức của npm :

package-lock.jsonđược tạo tự động cho mọi hoạt động trong đó npmsửa đổi node_modulescây hoặc package.json. Nó mô tả cây chính xác đã được tạo, sao cho các lần cài đặt tiếp theo có thể tạo các cây giống hệt nhau, bất kể cập nhật phụ thuộc trung gian.

Tập tin này được dự định cam kết vào kho lưu trữ nguồn [.]

Vô hiệu hóa gói-lock.json trên toàn cầu

gõ như sau trong thiết bị đầu cuối của bạn:

npm config set package-lock false

điều này thực sự hiệu quả với tôi như ma thuật

Có, đó là một thông lệ tiêu chuẩn để cam kết gói-lock.json

Lý do chính để cam kết gói-lock.json là mọi người trong dự án đều ở trên cùng một phiên bản gói.

Ưu điểm: -

• Nếu bạn tuân theo phiên bản nghiêm ngặt và không cho phép tự động cập nhật lên các phiên bản chính để tự cứu mình khỏi các thay đổi không tương thích ngược trong các gói của bên thứ ba, thì việc khóa gói sẽ giúp ích rất nhiều.
• Nếu bạn cập nhật một gói cụ thể, nó sẽ được cập nhật trong gói-lock.json và mọi người sử dụng kho lưu trữ sẽ được cập nhật lên phiên bản cụ thể đó khi họ thực hiện các thay đổi của bạn.

Nhược điểm: -

• Nó có thể làm cho các yêu cầu kéo của bạn trông xấu xí :) '

Chỉnh sửa: - cài đặt npm sẽ không đảm bảo rằng tất cả mọi người trong dự án đều ở trên cùng một phiên bản gói. npm ci sẽ giúp với điều này.

Việc sử dụng npm của tôi là để tạo css / js rút gọn / xấu xí và tạo javascript cần thiết trong các trang được cung cấp bởi một ứng dụng django. Trong các ứng dụng của tôi, Javascript chạy trên trang để tạo hình động, đôi khi thực hiện các cuộc gọi ajax, hoạt động trong khung VUE và / hoặc làm việc với css. Nếu gói-lock.json có một số quyền kiểm soát ghi đè đối với gói trong.j.j, thì có thể cần có một phiên bản của tệp này. Theo kinh nghiệm của tôi, nó không ảnh hưởng đến những gì được cài đặt bởi cài đặt npm, hoặc nếu có, nó chưa ảnh hưởng xấu đến các ứng dụng tôi triển khai theo hiểu biết của mình. Tôi không sử dụng mongodb hoặc các ứng dụng như vậy thường là máy khách mỏng.

Tôi xóa gói-lock.json khỏi repo vì cài đặt npm tạo tệp này và cài đặt npm là một phần của quy trình triển khai trên mỗi máy chủ chạy ứng dụng. Kiểm soát phiên bản của nút và npm được thực hiện thủ công trên mỗi máy chủ, nhưng tôi cẩn thận rằng chúng giống nhau.

Khi npm installđược chạy trên máy chủ, nó sẽ thay đổi gói-lock.json và nếu có thay đổi đối với tệp được ghi lại bởi máy chủ trên máy chủ, lần triển khai tiếp theo sẽ KHÔNG cho phép bạn lấy các thay đổi mới từ nguồn gốc. Đó là bạn không thể triển khai vì kéo sẽ ghi đè lên các thay đổi đã được thực hiện đối với gói-lock.json.

Bạn thậm chí không thể ghi đè lên gói-lock.json được tạo cục bộ với nội dung trên repo (đặt lại bản gốc gốc cứng), vì npm sẽ phàn nàn khi bạn phát lệnh nếu gói-lock.json không phản ánh nội dung trong đó node_modules do cài đặt npm, do đó phá vỡ triển khai. Bây giờ nếu điều này chỉ ra rằng các phiên bản hơi khác nhau đã được cài đặt trong node_modules, một lần nữa điều đó chưa bao giờ gây ra sự cố cho tôi.

Nếu node_modules không có trong repo của bạn (và nó không nên), thì nên bỏ qua gói-lock.json.

Nếu tôi thiếu một cái gì đó, xin vui lòng sửa cho tôi trong các ý kiến, nhưng điểm mà phiên bản được lấy từ tệp này không có ý nghĩa. Tệp pack.json có số phiên bản trong đó và tôi giả sử tệp này là tệp được sử dụng để xây dựng các gói khi cài đặt npm xảy ra, vì khi tôi gỡ bỏ nó, cài đặt npm phàn nàn như sau:

jason@localhost:introcart_wagtail$ rm package.json
jason@localhost:introcart_wagtail$ npm install
npm WARN saveError ENOENT: no such file or directory, open '/home/jason/webapps/introcart_devtools/introcart_wagtail/package.json'

và quá trình xây dựng không thành công, tuy nhiên khi cài đặt node_modules hoặc áp dụng npm để xây dựng js / css, sẽ không có khiếu nại nào nếu tôi xóa gói-lock.json

jason@localhost:introcart_wagtail$ rm package-lock.json 
jason@localhost:introcart_wagtail$ npm run dev

> introcart@1.0.0 dev /home/jason/webapps/introcart_devtools/introcart_wagtail
> NODE_ENV=development webpack --progress --colors --watch --mode=development

 10% building 0/1 modules 1 active ...