Почему «npm install» переписывает package-lock.json?

Я только недавно обновился до npm @ 5 . Теперь у меня есть файл package-lock.json со всем из package.json . Я ожидаю, что при запуске npm installверсии зависимостей будут извлечены из файла блокировки, чтобы определить, что должно быть установлено в моем каталоге node_modules . Что странно, так это то, что он на самом деле модифицирует и переписывает мой файл package-lock.json .

Например, для файла блокировки была указана машинописная версия версии 2.1.6 . Затем после npm installкоманды версия была изменена на 2.4.1 . Это, кажется, побеждает всю цель файла блокировки.

Что мне не хватает? Как мне заставить npm действительно уважать мой файл блокировки?

Обновление 3: Как отмечают и другие ответы, npm ciкоманда была введена в npm 5.7.0 как дополнительный способ достижения быстрой и воспроизводимой сборки в контексте CI. См. Документацию и блог npm для получения дополнительной информации.

Обновление 2: проблема для обновления и уточнения документации - проблема GitHub # 18103 .

Обновление 1: Поведение, которое было описано ниже, было исправлено в npm 5.4.2: предполагаемое в настоящее время поведение описано в выпуске GitHub # 17979 .

Оригинальный ответ: Поведение package-lock.jsonбыло изменено в npm 5.1.0, как обсуждалось в выпуске № 16866 . Поведение, которое вы наблюдаете, очевидно, предназначено для npm начиная с версии 5.1.0.

Это означает, что package.jsonможет переопределять package-lock.jsonвсякий раз, когда для зависимости в package.json. Найдена более новая версия . Если вы хотите эффективно закрепить свои зависимости, теперь вы должны указать версии без префикса, например, вам нужно записать их как 1.2.0вместо ~1.2.0или ^1.2.0. Тогда комбинация package.jsonи package-lock.jsonдаст воспроизводимые сборки. Чтобы было ясно: package-lock.jsonодин больше не блокирует зависимости корневого уровня!

Является ли это проектное решение было хорошо или не является спорным, существует постоянная дискуссия в результате этой путаницы на GitHub в вопросе # 17979 . (На мой взгляд, это сомнительное решение; по крайней мере, имя lockбольше не соответствует действительности.)

Еще одно замечание: есть также ограничение для реестров, которые не поддерживают неизменяемые пакеты, например, когда вы извлекаете пакеты непосредственно из GitHub вместо npmjs.org. См. Эту документацию блокировок пакетов для дальнейшего объяснения.

Я обнаружил, что будет новая версия npm 5.7.1 с новой командой npm ci, которая будет устанавливаться package-lock.jsonтолько с

Новая команда npm ci устанавливается ТОЛЬКО из вашего файла блокировки. Если ваш package.json и файл блокировки не синхронизированы, он сообщит об ошибке.

Это работает, выбрасывая ваши node_modules и воссоздавая его с нуля.

Помимо гарантии того, что вы получите только то, что находится в вашем файле блокировки, это также намного быстрее (2x-10x!), Чем установка npm, если вы не запускаете с node_modules.

Как вы можете догадаться из названия, мы ожидаем, что оно станет большим благом для сред непрерывной интеграции. Мы также ожидаем, что люди, которые производят развертывание с помощью git-тегов, получат значительную выгоду.

Используйте недавно представленный

npm ci

npm ci обещает наибольшую пользу крупным командам. Предоставление разработчикам возможности «подписаться» на блокировку пакета способствует более эффективной совместной работе больших групп, а возможность установки именно того, что находится в файле блокировки, может сэкономить десятки, если не сотни часов разработчиков в месяц, что освобождает команды тратить больше времени на сборку и доставку удивительных вещей.

Представляем npm ciдля более быстрой и надежной сборки

Короткий ответ:

• npm install уважает package-lock.json, только если он удовлетворяет требованиям package.json.
• Если он не удовлетворяет этим требованиям, пакеты обновляются и блокировка пакетов перезаписывается.
• Если вы предпочитаете не выполнять сборку, а не перезаписывать пакетную блокировку, когда это происходит, используйте npm ci.

Вот сценарий, который может объяснить вещи (проверено с помощью NPM 6.3.0)

Вы объявляете зависимость в package.json как:

"depA": "^1.0.0"

Затем вы делаете, npm installчто сгенерирует package-lock.json с:

"depA": "1.0.0"

Несколькими днями позже выпущена более новая вспомогательная версия «depA», скажем «1.1.0», тогда справедливо следующее:

npm ci       # respects only package-lock.json and installs 1.0.0

npm install  # also, respects the package-lock version and keeps 1.0.0 installed 
             # (i.e. when package-lock.json exists, it overrules package.json)

Затем вы вручную обновляете свой package.json:

"depA": "^1.1.0"

Затем перезапустите:

npm ci      # will try to honor package-lock which says 1.0.0
            # but that does not satisfy package.json requirement of "^1.1.0" 
            # so it would throw an error 

npm install # installs "1.1.0" (as required by the updated package.json)
            # also rewrites package-lock.json version to "1.1.0"
            # (i.e. when package.json is modified, it overrules the package-lock.json)

Используйте npm ciкоманду вместо npm install.

«ci» означает «непрерывная интеграция».

Он установит зависимости проекта на основе файла package-lock.json вместо зависимостей файла lenient package.json.

Он будет производить идентичные сборки для ваших товарищей по команде, и это также намного быстрее.

Вы можете прочитать больше об этом в этом блоге: https://blog.npmjs.org/post/171556855892/introduction-npm-ci-for-faster-more-reliable

В будущем вы сможете использовать --from-lock-file(или аналогичный) флаг для установки только из package-lock.jsonбез его изменения.

Это будет полезно для CI и т. Д. Сред, где важны воспроизводимые сборки.

См. Https://github.com/npm/npm/issues/18286 для отслеживания этой функции.

Кажется, эта проблема исправлена ​​в npm v5.4.2

https://github.com/npm/npm/issues/17979

(Прокрутите вниз до последнего комментария в теме)

Обновить

Фактически исправлено в 5.6.0. В 5.4.2 была кросс-платформенная ошибка, которая вызывала проблему.

https://github.com/npm/npm/issues/18712

Обновление 2

Смотрите мой ответ здесь: https://stackoverflow.com/a/53680257/1611058

npm ci это команда, которую вы должны использовать при установке существующих проектов сейчас.

Вы, вероятно, что-то вроде:

"typescript":"~2.1.6"

в вашем, package.jsonкоторый npm обновляет до последней минорной версии, в вашем случае2.4.1

Изменить: вопрос от ОП

Но это не объясняет, почему «npm install» изменит файл блокировки. Разве файл блокировки не предназначен для создания воспроизводимой сборки? Если это так, независимо от значения semver, он все равно должен использовать ту же версию 2.1.6.

Ответ:

Это предназначено для блокировки вашего полного дерева зависимостей. Допустим, typescript v2.4.1требует widget ~v1.0.0. Когда вы устанавливаете npm, он захватывает widget v1.0.0. Позже ваш коллега-разработчик (или сборка CI) устанавливает npm и получает, typescript v2.4.1но widgetбыл обновлен до widget v1.0.1. Теперь ваш модуль узла не синхронизирован. Это то, что package-lock.jsonмешает.

Или в более общем плане:

В качестве примера рассмотрим

пакет А:

{"name": "A", "version": "0.1.0", "dependencies": {"B": "<0.1.0"}}

пакет B:

{"name": "B", "version": "0.0.1", "dependencies": {"C": "<0.1.0"}}

и пакет C:

{"name": "C", "version": "0.0.1"}

Если это единственные версии A, B и C, доступные в реестре, то обычная установка npm A установит:

A@0.1.0 - B@0.0.1 - C@0.0.1

Однако, если B@0.0.2 опубликован, то новая установка npm установит:

A@0.1.0 - B@0.0.2 - C@0.0.1 при условии, что новая версия не изменила зависимости B. Конечно, новая версия B может включать новую версию C и любое количество новых зависимостей. Если такие изменения нежелательны, автор A может указать зависимость от B@0.0.1. Однако, если автор A и автор B не являются одним и тем же лицом, у автора A нет возможности сказать, что он или она не хотят добавлять недавно опубликованные версии C, когда B вообще не изменился.

ОП Вопрос 2: Итак, давайте посмотрим, правильно ли я понимаю. Вы говорите, что файл блокировки определяет версии вторичных зависимостей, но все еще использует нечеткое соответствие package.json для определения зависимостей верхнего уровня. Это точно?

Ответ: Нет. Package-lock блокирует все дерево пакетов, включая корневые пакеты, описанные в package.json. Если typescriptон заблокирован 2.4.1в вашем package-lock.json, он должен оставаться таким до тех пор, пока он не будет изменен. И скажем, завтра typescriptвыпускает версию 2.4.2. Если я проверю вашу ветку и npm installзапустлю, npm будет уважать файл блокировки и установить 2.4.1.

Подробнее о package-lock.json:

package-lock.json автоматически генерируется для любых операций, где npm изменяет либо дерево node_modules, либо package.json. Он описывает точное дерево, которое было сгенерировано, так что последующие установки могут генерировать идентичные деревья, независимо от промежуточных обновлений зависимостей.

Этот файл предназначен для фиксации в исходных хранилищах и предназначен для различных целей:

Опишите единственное представление дерева зависимостей, чтобы товарищи по команде, развертывания и непрерывная интеграция гарантированно устанавливали одинаковые зависимости.

Предоставьте пользователям возможность «путешествовать во времени» к предыдущим состояниям node_modules без необходимости фиксации самого каталога.

Для облегчения видимости изменений в дереве с помощью читабельных исходных текстов контроля.

И оптимизировать процесс установки, позволяя npm пропускать повторные разрешения метаданных для ранее установленных пакетов.

https://docs.npmjs.com/files/package-lock.json

Вероятно, вы должны использовать что-то вроде этого

npm ci

Вместо использования, npm install если вы не хотите менять версию вашего пакета.

Согласно официальной документации, оба npm installи npm ciустанавливаем зависимости, которые необходимы для проекта.

Основное отличие заключается в том, npm installустанавливает ли пакеты, принимая packge.jsonв качестве ссылки. Где в случае npm ci, он действительно устанавливает пакеты, принимая package-lock.jsonв качестве ссылки, проверяя каждый раз, когда точный пакет установлен.

Существует открытая проблема для этого на их странице GitHub: https://github.com/npm/npm/issues/18712

Эта проблема наиболее серьезна, когда разработчики используют разные операционные системы.

РЕДАКТИРОВАТЬ: название «замок» хитрый, его NPM пытается догнать пряжи. Это не заблокированный файл вообще. package.jsonявляется фиксированным пользователем файлом, который после "установки" сгенерирует дерево папок node_modules, и это дерево будет записано в package-lock.json. Итак, вы видите, все наоборот - версии зависимостей будут извлечены package.jsonкак всегда, и package-lock.jsonих следует вызыватьpackage-tree.json

(надеюсь, это сделало мой ответ более ясным после стольких отрицательных голосов)

Упрощенный ответ: сохраняйте package.jsonсвои зависимости как обычно, в то время как package-lock.jsonэто «точное и, что более важно, воспроизводимое дерево node_modules» (взято из самой документации npm). ).

Что касается хитрого имени, его NPM пытается догнать пряжу.