Pourquoi ne “npm install” réécrire paquet-lock.json?

J'ai récemment mis à niveau vers mnp@5. J'ai maintenant un paquet de verrouillage.fichier json avec tout de package.json. Je m'attends à ce que, quand je lance npm install que la dépendance versions devrait être tiré à partir du fichier de verrouillage pour déterminer ce qui devrait être installé dans mon répertoire node_modules. Ce qui est étrange, c'est qu'il se termine effectivement en place de la modification et de la réécriture de mon colis-lock.fichier json.

Par exemple, le fichier de verrouillage a tapuscrit spécifié pour être à la version 2.1.6. Puis, après la npm install de commande, la version a été modifiée pour 2.4.1. Qui semble à l'encontre de l'objectif d'un fichier de verrouillage.

Ce qui me manque? Comment puis-je obtenir mnp à fait respecter mon fichier de verrouillage?

  • Ce n'est pas la réponse à votre question donc j'espère qu'un commentaire est ok, mais avoir un regard sur le Fil. La commutation a pris moins d'une heure pour nous.
  • Le même problème mais à l'aide de fils de github.com/yarnpkg/yarn/issues/570 (très instructif)
  • Je vais avoir le même problème. Mon package-lock.json est regénérée quand je lance npm install. Ce sent comme un mnp bug. Utilisez-vous votre propre registre?
  • Voir aussi npm5 équivalent au fil de l'-pur-lockfile drapeau?
  • --no-save empêche de changer le fichier de verrouillage, mais cela n'affecte pas la dingo de premier niveau de dépendance de la mise à niveau de l'OP cite.
  • Pourquoi voudriez-vous attendre à quelque chose appelé paquet de verrouillage pour verrouiller les paquets? Paquet de verrouillage est analogue à la façon, lorsque vous mettez n'importe quel clé dans une serrure de porte, la serrure transforme lui-même pour correspondre quelle que soit la clé a été mis en place, puis ouvre la porte. Maintenant, si vous m'excuserez, je suis en retard pour une partie de thé avec un lapin.
  • Ce qui semble se produire avec les npm6 - j'ai couru npm i sans rien changer, et mon package-lock.json a été modifié (les versions sous tous les paquets dans requires changé). Il semble que prévu et de ne pas casser quoi que ce soit? Plus d'infos ici
  • Depuis les versions modifiées, ce qui devrait être reflété dans le paquet-lock ainsi

InformationsquelleAutor Viper Bailey | 2017-07-10
  1. 376

    Mise à jour 3: Comme d'autres réponses souligner ainsi, la npm ci commande était introduit dans mnp 5.7.0 comme moyen supplémentaire d'atteindre rapidement et de façon reproductible construit dans l'IC contexte. Voir la la documentation et npm blog pour de plus amples informations.

    Mise à jour 2: La question de la mise à jour et de clarifier la documentation est GitHub question n ° 18103.

    Mise à jour 1: Le comportement qui a été décrit ci-dessous suis fixé dans mnp 5.4.2: actuellement prévue le comportement est décrit dans GitHub question n ° 17979.

    Réponse originale à cette question: Le comportement de package-lock.json a été changé dans npm 5.1.0 tel que discuté dans question n ° 16866. Le comportement que vous observez, c'est apparemment prévu par npm à partir de la version 5.1.0.

    Qui signifie que package.json pouvez remplacer package-lock.json chaque fois qu'une nouvelle version est disponible pour une dépendance dans package.json. Si vous souhaitez épingler vos dépendances de manière efficace, vous devez maintenant spécifier les versions sans préfixe, par exemple, vous avez besoin d'écrire comme 1.2.0 au lieu de ~1.2.0 ou ^1.2.0. Ensuite, la combinaison de package.json et package-lock.json donnera reproductible construit. Pour être clair: package-lock.json seul ne verrouille plus le niveau de la racine des dépendances!

    Si cette décision a été bonne ou pas, c'est défendable, il y a une discussion en cours résultant de cette confusion sur GitHub dans question n ° 17979. (Dans mes yeux c'est une décision incertaine; au moins le nom lock n'est pas plus valable.)

    Encore une note de côté: il y a aussi une restriction pour les registres qui ne supportent pas immuable paquets, comme lorsque vous tirez sur les paquets directement à partir de GitHub au lieu de npmjs.org. Voir cette documentation du package de serrures pour de plus amples explications.

    • C'est une longue discussion, donc je ne serais pas surpris si le comportement a changé à l'avenir. Pour l'instant, commentaire confirme aussi votre avis, que des versions en package.json doit aussi être verrouillé.
    • Par la façon dont, une fois que vous avez tout verrouillé, si vous ne voulez essayer de nouvelles versions de vos dépendances, il est un bel outil appelé updtr qui peut m'aider.
    • Ce que le hack est npm update pour ensuite ? 😮 j'ai eu le même sentiment que npm install mis à jour deps, mais je ne veux pas le croire.. mais semble comme c'est malheureusement vrai.. de toute façon il y a toujours l'option d'utiliser npm shrinkwrap pour verrouiller deps, mais certainement nom du package-lock est incorrect car il ne craint pas le gel, ni de verrouillage dépendances..
    • Quel gâchis! Les mondes plus grand gestionnaire de package mais il ne veut pas avoir de la documentation sur la façon dont il devrait fonctionner. Tout le monde est de deviner ce qu'il doit faire et il se transforme en une guerre d'opinions. La Discussion est bonne, mais doit se faire avant un lâcher dans la nature. À un certain moment, quelqu'un doit faire l'appel et puis peut être mis en œuvre, documentées et diffusées. PHP a été conçu par le comité ad hoc avait ensemble et de regarder la façon dont il s'est avéré. J'avais hate de voir la même chose arriver à un outil de cette critique et largement utilisé.
    • Alors, quel est le point de l'utilisation de package-lock ? J'ai pensé qu'il serait de créer le même environnement dans les différents espaces de travail, mais il s'avère que c'est de ne rien faire
    • Je suis vraiment confus... Donc, 1) comment dois-je réellement déployer exactement verrouillé arbre de paquets de mise en scène? juste "npm i --no-save"? 2) comment dois-je mettre à jour les paquets de dev pour la préparation de la nouvelle version? "npm jusqu' --save"? Honnêtement je m'attendais qu'il y aurait une commande distincte qui produit l'arbre de la boîte de verrouillage.fichier json
    • Je suis toujours en attente pour le cipm à sortir, mais il n'y a pas beaucoup de transparence autour de quand nous pouvons nous attendre. Sonne comme mécanisme national de prévention de gens sont en développement cipm spécifiquement pour la régénération de l'dépendances basé uniquement le fichier de verrouillage.
    • "Ensuite, la combinaison de package.json et l'emballage-lock.json donnera reproductible construit." Quel est le rôle de "package-lock.json" ont ici? Ne le "paquet.json" seul est déjà rendement reproductible construit si aucune version préfixes sont utilisés?
    • Je pense que package.json ne pouvez pas verrouiller profonde des dépendances...
    • le fil n'a pas ce problème. Il s'installe exactement ce qui est indiqué dans le paquet-lock.
    • Peut confirmer, yarn.lock ne semble pas souffrir du même problème que le package-lock.json. Je voudrais l'utiliser sur la ngp, si possible.
    • Pas sûr de ce que votre commentaire sur PHP est en référence à l', mais le Compositeur est un moyen meilleur gestionnaire de package de MNP (et fils). Sonne comme vous ne pouvez pas avoir vérifié PHP de temps en temps.
    • ce commentaire fait référence à PHP la langue, pas le Compositeur. PHP a une horrible et incohérent, dangereux et peu intuitive API standard et totalement redondant toutes les fonctions de la place.
    • Veuillez prendre note en réponse "mise à Jour 1: Le comportement qui a été décrit ci-dessous suis fixé dans mnp 5.4.2". Pour résumer: une Fois le fichier de verrouillage a été généré, il t maintenant éviter la mise à jour vers des versions plus récentes - jusqu'à ce que vous modifier le package.json pour spécifier une autre version ou la plage. Que de 5,4+, npm install ne prend plus le nouveau package disponibles, si la "verrouillé" version est compatible avec ce package.json précise.

    InformationsquelleAutor jotaen
  2. 143

    J'ai trouvé qu'il y aura une nouvelle version de la ngp 5.7.1 avec la nouvelle commande npm ci, qui s'installent à partir package-lock.json seulement

    La nouvelle mnp ci commande installe à partir de votre serrure-fichier. Si votre colis.json et vos points de blocage de fichiers ne sont pas synchronisés, puis il affiche un message d'erreur.

    Il fonctionne par jeter votre node_modules et de le recréer à partir de zéro.

    Au-delà de vous garantir que vous n'obtiendrez ce qui est dans votre verrouillage de fichier, il est aussi beaucoup plus rapide (2x-10x!) que npm install quand vous ne commencez pas avec un node_modules.

    Que vous pouvez prendre à partir du nom, nous nous attendons à un grand bienfait pour l'intégration continue des environnements. Nous nous attendons aussi que les gens qui font de la production se déploie à partir de git les balises de voir des gains importants.

    • Ce devrait être le comportement par défaut si un fichier de verrouillage existe.
    • Donc ils ont changé la façon dont les mnp je travaille, seulement pour le faire revenir en tant que mnp ci mois plus tard?
    • Pas tous les projets ont un fichier de verrouillage, donc je suppose que la meilleure façon d'initialiser un arbitraire pensions que vous avez téléchargé est npm ci || npm i
    • Je suis toujours confus. La documentation dit ", assurez-vous d'avoir une trousse de verrouillage et un up-to-date de l'installation: npm install" avant de lancer la commande npm ci dans ce projet. Ne pas npm install remplacer le package-lock.fichier json?
    • Autant que je sache: @adiga - à partir de la version 5.4, npm que modifie le fichier de verrouillage si nécessaire, pour répondre à la spécification dans les packages.json. Donc, si des paquets utilisés à-dire thatpackage: 1, et de verrouiller dit ..: 1.0.4, dev pouvez modifier à-dire thatpackage: 2 - et qui sera force de verrouiller le fichier pour changer, parce que 1.0.4 n'est pas compatible avec la nouvelle gamme spécifiée. Si ce n'est pas le changement packages.json, reste bloqué à la version exacte, jusqu'à supprimer le fichier de verrouillage. [Si ne pas rester enfermé, et ne pas modifier les paquets.json, remplir un rapport de bogue.]
    • Passé ma journée entière sur elle. J'ai passé toute ma journée sur cette question fondamentale 🙁 🙁

    InformationsquelleAutor Ivan Shcherbakov
  3. 84

    Utiliser le nouvellement introduit

    npm ci

    mnp ci promet le plus d'avantages pour les grandes équipes. Donner aux développeurs la capacité à “signer” sur un paquet de verrouillage favorise une collaboration plus efficace dans de grandes équipes, et la possibilité d'installer exactement ce qui est dans un fichier de verrouillage a le potentiel de sauver des dizaines, voire des centaines de développeur heures par mois, en libérant les équipes de consacrer plus de temps et d'expédition des choses étonnantes.

    L'introduction de npm ci pour être plus rapide, plus fiable construit

    • cela semble être correct pour moi? d'autres personnes peuvent confirmer?
    • Cela est correct. Nous avons assez bien que utiliser npm ci, et de n'utiliser npm install si la mise à jour ou l'installation de nouveaux paquets.
    • Les derniers commentaires, etc. C'est la réponse que je vais avec. Dommage qu'ils coudln pas à résoudre l'horrible snafu, mais si la nouvelle de l'évangile est "npm ci", alors tout va bien. Je peux m'adapter.
    • Dommage qu'il toujours supprime une node_modules répertoire et reconstruit localement, même si c'est un vide, mais important lien symbolique. 🙁
    • il semble qu'au mérite de l'ouverture d'un problème au mnp. Il devrait vraiment il suffit de supprimer tous les table des matières de répertoire.
    InformationsquelleAutor Gal Margalit
  4. 47

    Réponse Courte:

    • npm install honneurs paquet-lock.json seulement si il satisfait aux exigences du paquet.json.
    • Si elle ne satisfait pas à ces exigences, les paquets sont mis à jour & paquet-lock est écrasé.
    • Si vous avez plutôt l'échec de la construction, de réécrire paquet de verrouillage lorsque cela se produit, utilisez npm ci.

    Ici est un scénario qui pourrait expliquer les choses (Vérifié avec NPM 6.3.0)

    Vous déclarer une dépendance dans le paquet.json comme:

    "depA": "^1.0.0"

    Alors que vous faites, npm install qui va générer un paquet de verrouillage.json avec:

    "depA": "1.0.0"

    Quelques jours plus tard, une nouvelle version mineure de "depA" est sorti, dire "1.1.0", puis le suivant est vrai:

    npm ci       # respects only package-lock.json and installs 1.0.0

npm install  # also, respects the package-lock version and keeps 1.0.0 installed 
             # (i.e. when package-lock.json exists, it overrules package.json)

    Ensuite, vous mettez à jour manuellement votre colis.json à:

    "depA": "^1.1.0"

    Puis exécutez à nouveau:

    npm ci      # will try to honor package-lock which says 1.0.0
            # but that does not satisfy package.json requirement of "^1.1.0" 
            # so it would throw an error 

npm install # installs "1.1.0" (as required by the updated package.json)
            # also rewrites package-lock.json version to "1.1.0"
            # (i.e. when package.json is modified, it overrules the package-lock.json)
    • C'est en effet le comportement attendu d'un "verrouillage" du fichier. Apparemment, il n'était pas le cas avec les anciennes versions de la NGP.
    • Alors comment ne mnp piste de la dernière mise à jour de package.json? Ce qui se passe lorsque vous déplacez votre colis.json et l'emballage-lock.json à un autre ordinateur? Comment fonctionne le mécanisme national de prévention de nouvel ordinateur savoir si le paquet.de verrouillage est celui d'origine ou il a été mis à jour, afin de décider s'il doit package de mise à jour-lock.json ou pas?
    • C'est maintenant déconcerté par l'ajout de npm-shrinkwrap.json qui est exactement le même dans la syntaxe et le contenu que package-lock.json et entend la même fonctionnalité.
    • Il n'a pas vraiment de suivi des mises à jour. npm install va utiliser le verrouillage de versions de package-lock.json à moins qu'il ne remplit pas les package.json auquel cas il s'installe package.json et à la reconstruction du paquet-lock.json en conséquence. Si vous avez changé votre package.json de telle manière que le package existant-lock répond toujours à la mise à jour package.json il va continuer à utiliser que package-lock
    • Si vous avez déjà un module dans node_modules qui répond aux exigences du paquet.json, puis npm install ne fait rien, quel que soit-de-paquet de verrouillage.json. Nous avons explicitement les packages de mise à jour, même quand il y a des mises à jour disponibles qui correspondent à la semver spécifié dans le paquet.json. Au moins cela a été mon expérience depuis des années.
    • ça a l'air très différent de ce que les gens se plaignait au mnp, pendant des années. C'est pourquoi le comportement a été modifié dans la version 5.1, puis partiellement modifié dans 5.4. Êtes-vous sûr que vous avez supprimé le fichier de verrouillage?

    InformationsquelleAutor Ahmad Abdelghany
  5. 13

    Utiliser le npm ci de commande au lieu de npm install.

    "ci" signifie "intégration continue".

    Il va installer les dépendances d'un projet basé sur l'emballage-lock.fichier json au lieu de clément paquet.fichier json dépendances.

    Il permettra de réaliser des construit à vos coéquipiers et il est également beaucoup plus rapide.

    Vous pouvez en lire plus à ce sujet dans ce post de blog:
    https://blog.npmjs.org/post/171556855892/introducing-npm-ci-for-faster-more-reliable

    • ci se réfère à une "intégration continue", comme indiqué dans les docs et post de blog annonçant la commande: blog.npmjs.org/post/171556855892/...
    • Merci Joe. J'ai mis à jour ma réponse avec le bon nom et lié à l'article du blog. (pour ceux qui lisent ceci, je l'ai dit précédemment qu'il représente "installation propre")
    InformationsquelleAutor Daniel Tonon
  6. 7

    Il apparaît que ce problème est résolu dans mnp v5.4.2

    https://github.com/npm/npm/issues/17979

    (Défiler vers le bas pour le dernier commentaire dans le fil)

    Mise à jour

    Corrigés dans 5.6.0. Il y avait une croix-plate-forme de bug dans 5.4.2 qui a été à l'origine du problème à toujours se produire.

    https://github.com/npm/npm/issues/18712

    Mise à jour 2

    Voir ma réponse ici:
    https://stackoverflow.com/a/53680257/1611058

    npm ci est la commande que vous devez utiliser lors de l'installation de projets existants maintenant.

    • Je suis en utilisant 5.4.2 et c'est encore résultant de la modification de mon colis-lock.json quand npm i. Par exemple, le module fsevents est enlevé quand j' npm i sur une machine qui ne prend pas en charge fsevents et puis le module est ajouté lorsque l'on npm i de nouveau sur une machine qui n'.
    • Ensuite, vous devez soulever un nouveau problème dans le mécanisme national de prévention dépôt GitHub expliquant cela. Si ça ne fonctionne pas de la façon dont ils disent qu'il est censé travailler, puis ils la voient comme une haute priorité bug qui a un urgent besoin de fixation.
    • Je vois la même fsevents baisse dans mon package-lock.json avec [email protected], tout en collaborant avec Mac OS X contributeurs. Si vous n'avez pas ouvert de problème, je le ferai.
    • href="https://github.com/npm/npm/issues/18712" >github.com/npm/npm/issues/18712
    • J'ai trouvé ça (et le long fil de problèmes qui y sont associés) après j'ai laissé mon commentaire et j'ai oublié de revenir AFIN de mettre à jour mon commentaire. Merci pour l'obtention de mon dos. Tout est très bien.
    InformationsquelleAutor Daniel Tonon
  7. 6

    Dans l'avenir, vous serez en mesure d'utiliser un --from-lock-file (ou similaire) drapeau pour installer seulement de la package-lock.json sans le modifier.

    Cela sera utile pour l'IC, etc. les environnements où reproductible versions sont importantes.

    Voir https://github.com/npm/npm/issues/18286 pour le suivi de la fonctionnalité.

    • J'en doute. Comment, si les dépendances sont différentes pour les différents systèmes d'exploitation, comment pouvez-vous la force d'installer quelque chose qui ne fonctionne pas?
    • Au lieu de cet indicateur, il a été mis en œuvre comme npm ci qui gère aussi votre question.
    InformationsquelleAutor Timothy Higinbottom
  8. 5

    Vous avez probablement quelque chose comme:

    "typescript":"~2.1.6"

    dans votre package.json qui mnp mises à jour à la dernière version mineure, dans votre cas, étant 2.4.1

    Edit: la Question de l'OP

    Mais cela n'explique pas pourquoi "npm install" serait de modifier le fichier de verrouillage. N'est-ce pas le fichier de verrouillage destiné à créer un reproductibles construire? Si oui,
    quel que soit le semver la valeur, elle doit toujours utiliser le même 2.1.6
    version.

    Réponse:

    Ce qui est destiné à verrouiller votre complet de l'arbre des dépendances. Disons typescript v2.4.1 nécessite widget ~v1.0.0. Lorsque vous npm l'installer
    attrape widget v1.0.0. Plus tard sur votre autre développeur (ou CI build)
    un npm install et obtient typescript v2.4.1 mais widget a été
    mis à jour à widget v1.0.1. Maintenant, votre nœud module de synchronisation. Cette
    est ce que package-lock.json empêche.

    Ou plus généralement:

    Considérez, par exemple,

    forfait A:

    { "name": "Un", "version": "0.1.0", "dépendances": {
    "B": "<0.1.0" } }

    paquet B:

    { "name": "B", "version": "0.0.1", "dépendances": {
    "C": "<0.1.0" } }

    et forfait C:

    { "name": "C", "version": "0.0.1" }

    Si ce sont les seules versions
    de A, B, et C disponible dans le registre, puis un npm install Un
    va installer:

    [email protected] -- [email protected]
    -- [email protected]

    Cependant, si [email protected] est publié, puis une nouvelle ngp installer Un va installer:

    [email protected] -- [email protected]
    -- [email protected] en supposant que la nouvelle version n'a pas modifié B dépendances. Bien sûr, la nouvelle version de B, qui pourrait inclure un nouveau
    la version de C et toute une série de nouvelles dépendances. Si de tels changements sont
    indésirables, l'auteur de Un pouvez spécifier une dépendance sur [email protected].
    Cependant, si Un auteur et B de l'auteur ne sont pas la même personne, il y a
    aucun moyen pour Un auteur de pouvoir dire qu'il ou elle n'a pas envie de tirer dans
    nouvellement publié les versions de C si B n'a pas du tout changé.

    OP Question 2: Alors, permettez-moi de voir si je comprends bien. Ce que vous êtes
    dire, c'est que le fichier de verrouillage indique les versions de la secondaire
    dépendances, mais repose toujours sur la correspondance floue de package.json
    pour déterminer le niveau supérieur des dépendances. C'est bien ça?

    Réponse: Non. paquet-verrouille l'ensemble de l'arbre de paquets, y compris l'
    racine logiciels décrits dans package.json. Si typescript est verrouillé
    au 2.4.1 dans votre package-lock.json, il doit rester de cette façon jusqu'à ce qu'il est
    changé. Et disons que demain typescript lance la version 2.4.2.
    Si j'ai la caisse de votre branche et exécuter npm install, mnp respecter le
    fichier de verrouillage et d'installer 2.4.1.

    Plus sur package-lock.json:

    paquet-lock.json est généré automatiquement pour toutes les opérations où mnp modifie soit le node_modules arbre, ou un package.json. Il décrit exactement l'arbre qui les a produits, tels que par la suite, installe sont en mesure de générer des arbres identiques, quel que soit intermédiaire de la dépendance des mises à jour.

    Ce fichier est destiné à être engagé dans la source de dépôts, et qui sert à des fins diverses:

    Décrire une seule représentation d'un arbre de dépendances telles que les coéquipiers, les déploiements, et d'intégration continue sont garantis à installer exactement les mêmes dépendances.

    Fournir une installation pour les utilisateurs de "voyage dans le temps" aux états précédents de node_modules sans avoir à commettre le répertoire lui-même.

    Pour faciliter une plus grande visibilité des modifications apportées à l'arbre à travers lisible de la source de contrôle de diff.

    Et d'optimiser le processus d'installation en permettant mnp à sauter répété des métadonnées pour des résolutions précédemment installé les packages.

    https://docs.npmjs.com/files/package-lock.json

    • Mais cela n'explique pas pourquoi "npm install" serait de modifier le fichier de verrouillage. N'est-ce pas le fichier de verrouillage destiné à créer un reproductibles construire? Si oui, quel que soit le semver la valeur, elle doit toujours utiliser la même version 2.1.6.
    • J'ai mis à jour ma réponse.
    • Source de la deuxième citation, ce serait bien.
    • Alors permettez-moi de voir si je comprends bien. Ce que vous dites, c'est que le fichier de verrouillage indique les versions du secondaire dépendances, mais repose toujours sur la correspondance floue de package.json afin de déterminer le niveau supérieur des dépendances. C'est bien ça?
    • mise à jour de ma réponse encore une fois.
    • Et c'est la chose dont je suis en train de dire. Mon colis fichier de verrouillage dit [email protected] mais lorsque je lance le npm install, l'entrée est remplacé par [email protected].
    • Hmmmm. Avez-vous supprimer votre packagelock? Assurez-vous d'avoir la dernière mnp ==> $npm update -g npm
    • J'ai connu ce même problème. Dans notre CI/CD, la package-lock.json tire vers le bas et puis nous courons npm install, mais le package-lock.json fichier est modifié et que nous avons à faire à une réinitialisation de l'avant, nous pouvons tirer les prochains changements.
    • "...tels que des coéquipiers, des déploiements et de l'intégration continue sont garantis à installer exactement les mêmes dépendances." Je ne vois pas comment cela peut être vrai si on modifie le fichier de verrouillage lorsque vous ne npm i?
    • Je n'ai pas l'obtenir. Comment est-ce un "verrou" fichier si, à la suite installe toujours possible de faire des mises à niveau?!
    • Pour moi, cette réponse n'a pas vraiment résoudre le problème. En particulier la réponse à OP2 je ne peux pas reproduire; en fait mnp 5.3.0 ne se comportent pas comme ça sur ma machine. Dire, si la machine a été spécifié avec ~2.1.6 dans package.json, mnp ignore encore aujourd'hui tout ce qui était de sortie dans le fichier de verrouillage.
    • Je pense qu'ils ont commencé avec l'idée d'avoir ce fichier comme "info" et "lock" et puis, a décidé qu'il sera seulement une "info" du fichier. Meilleur nom serait "paquet-info.json". J'aimerais avoir un "npm install-lock" qui s'installent à partir de "package-lock.json" et d'ignorer "paquet.json"
    • Le premier paragraphe de cette réponse est encore fondamentalement mauvais. La question est à propos d'une situation où le fichier de verrouillage existe - qui devrait empêcher le décrit la mise à jour arrive.

    InformationsquelleAutor Matt
  9. 1

    Il y a un sujet ouvert à cet effet sur leur github page: https://github.com/npm/npm/issues/18712

    Ce problème est plus grave quand les développeurs sont à l'aide de différents systèmes d'exploitation.

    • Les réécrit dans le paquet-lock sont destinés, la question n'est pas une conséquence de cette
    InformationsquelleAutor hrdwdmrbl
  10. 0

    EDIT: le nom de "lock" est une question délicate, son MNP essaie de rattraper le Fil. Ce n'est pas un fichier verrouillé que ce soit. package.json est un utilisateur de fichier fixe, qui une fois "installé" va générer dossier node_modules arbre et l'arbre sera ensuite écrite dans package-lock.json. Donc, vous voyez, c'est l'autre manière autour de dépendance de versions sera tiré à partir de package.json comme toujours, et package-lock.json doit être appelé package-tree.json

    (espérons que cela fait ma réponse plus claire, après tant de downvotes)

    Une solution simpliste: package.json avoir vos dépendances comme d'habitude, alors que package-lock.json est "exact, et surtout reproductible node_modules tree" (arbre de prise de npm docs lui-même).

    Comme pour la délicate nom, son MNP essaie de rattraper le Fil.

    • Parce que si vous exécutez npm install, package-lock sera mis à jour.
    InformationsquelleAutor Z. Khullah