npm包版本号控制原理
npm包管理及依赖版本管理是通过package.json文件实现的。当你使用npm安装或更新一个包的时候,package.json里就自动添加了一条信息,包括包名和版本号。npm默认安装最新版本,然后在其版本号之前添加一个 ^ 符号。比如 ^16.8.0,它表明最低应使用 16.8.0 版本。并且在这之上,拥有相同大版本号的任何版本都是OK的。毕竟小版本和bugfix版本不会对使用造成任何影响,所以用任何相同大版本的更高级版本都很安全。
版本号由三部分组成:major(主版本号)、minor(次版本号)、patch(修补版本号)
符号 ^:表示主版本固定的情况下,可更新最新版。例如:react: "^16.8.0",16.8.0及其以上的16.x.x都是满足的;
符号 ~:表示次版本固定的情况下,可更新最新版。如:react: "~16.8.0",16.8.0及其以上的18.8.x都是满足的;
无符号:无符号表示固定版本号,例如:react: "16.8.0",此时一定是安装16.8.0版本;
符号 :安装最新版本的依赖包,比如 `react: “1.2.3”` 会匹配16.8.0。
为什么要锁定版本号
没有版本锁定的情况下,在执行每次 npm install 的时候,对应的版本前都有个 ^ 符号。也就是未固定版本的依赖如果有了次版本更新或者修订版本更新,会自动安装对应的最新版。 在这种情况下,你再次 install 时安装的包的版本可能与前次不一样,具体的,你可以到package-lock.json中查看实际的包版本。 例如:A新建了一个项目,生成了上面这份 package.json 文件,但A安装依赖的时间比较早,此时packageA的最新版本是2.1.0,该版本与代码兼容,没有出现bug。后来B克隆了A的项目,在安装依赖时packageA的最新版本是2.2.0,那么根据语义npm会去安装2.2.0的版本,但2.2.0版本的API可能发生了改动,导致代码出现意外的问题。
这就是package.json会带来的问题,同一份package.json在不同的时间和环境下安装会产生不同的结果。
理论上这个问题是不应该出现的,因为npm作为开源世界的一部分,也遵循一个发布原则:相同大版本号下的新版本应该兼容旧版本。即2.1.0升级到2.2.0时API不应该发生变化。但很多开源库的开发者并没有严格遵守这个发布原则,导致了上面的这个问题。
为了在不同的环境下生成相同的node_modules,引入 版本依赖锁定 就尤为必要了。
版本依赖锁定方案
注意,开发过程中,使用 cnpm 安装依赖时,它是不支持依赖版本锁定的。无论你的项目中有package-lock.json、npm-shrinkwrap.json还是yarn-lock.json文件,执行cnpm i安装依赖的时候他们都只是摆设,都只会根据package.json文件进行安装。所以通过cnpm安装依赖是不能避免上面问题的。而且有很多网友反馈cnpm会有依赖包丢失的问题。
1. package.json中固定版本
这是最直接的,可以在 package.json 中写入固定版本号,也就是去掉版本号前面的~或者^,或者安装的时候加上 --save-exact 参数。但这样只能锁定最外一层的依赖,也就是这个依赖本身的其他依赖版本是不受控制的。所以不太推荐。
2. npm + package-lock.json
第一次npm i的时候会根据当前node_modules目录生成一个固定版本号的package-lock.json文件,后面如果安装新增的依赖,会自动更新这个文件。但如果需要更新当前某个依赖的版本号并锁定到package-lock.josn中,需要手动修改package.json中对应的版本或者指定依赖的版本号安装:npm i xxx@x.x.x。
3. npm + npm-shrinkwrap.json
该文件是通过运行
npm shrinkwrap命令产生的,在npm5之前(不包括5),主要是用来精准控制安装指定版本的npm包。参考
这种方式锁定版本,每次依赖有新增或者版本更新之后,要手动自行 npm shrinkwrap 来生成或者更新版本锁定文件。
4. yarn+yarn-lock.json
yarn-lock.json与package-lock.josn原理类似,习惯用yarn命令的可以采取这种方式。
5. yarn –frozen-lockfile
yarn –frozen-lockfile和npm ci类似,需要存在yarn-lock.json文件
6. npm ci
npm ci 类似于 npm install,常在用于自动化环境,如测试平台,持续集成和部署。区别是:
- 该项目必须有一个
package-lock.json或npm-shrinkwrap.json。 - 如果 package-lock.json 中的依赖项与 package.json 的依赖项不匹配,npm ci 则将退出并显示错误,而不是更新 package-lock.json。
- npm ci 只能一次安装整个项目,使用此命令无法添加单个依赖项。
- 如果 node_modules 已经存在,它将在 npm ci 开始安装之前被自动删除。
- 它永远不会写入 package.json 或任何包锁:安装基本上是冻结的。
- npm ci 必须存在package-lock.json且依赖版本和package.json匹配时才会安装依赖,否则报错,如此可强制开发者在持续集成前先在本地解决依赖版本的一致性问题。
