Я фиксирую файл package-lock.json, созданный npm 5?

Question

Я фиксирую файл package-lock.json, созданный npm 5?

788

npm 5 был выпущен сегодня, и одна из новых функций включает детерминированные установки с созданием файла package-lock.json.

Предполагается ли, что этот файл хранится в контроле источника?

Я предполагаю, что он похож на yarn.lock и composer.lock, оба из которых являются который должен храниться в контроле источника.

rink.attendant.6 26 май 2017, в 17:49

Источник

12

Краткий ответ: да. Один комментарий: при изменении package-lock.json вы можете сделать фиксацию только этого изменения, отдельно от других исходных изменений. Это облегчает работу с git log .
Purplejacket 29 авг. 2017, в 23:07
7

Файл не может помочь произвести детерминированную установку, если он не существует.
Alan H. 30 сен. 2017, в 06:11
1

Зависит от проекта. github.com/npm/npm/issues/20603
Gajus 13 май 2018, в 01:21
0

Если вы действительно уверены, что npm уверен, цель состоит в том, чтобы более четко сообщить, что использует проект. Если вы действительно хотите предсказуемость, проигнорируйте этот файл и установите вместо него ваши node_modules (см. .Npmrc и соответствующий конфиг в ответах + комментарии) и используйте это для отслеживания того, что на самом деле меняется, а не того, что ваш менеджер пакетов утверждает, что делает. В конечном итоге: что важнее? Ваш менеджер пакетов или код, который вы используете.
jimmont 30 нояб. 2018, в 18:15

Показать ещё 2 комментария

Теги:

node.js

git

npm

version-control

8 ответов

70

Да, он должен быть проверен. Я хочу предположить, что он получает свою собственную уникальную фиксацию. Мы обнаруживаем, что он добавляет много шума к нашим различиям.

xer0x 16 июнь 2017, в 21:56

12

Справедливо спорить о том, следует ли проверять его в своем репозитории исходного кода, но публикация этого файла в npm на самом деле не подлежит обсуждению - вы должны включить либо свой package-lock.json, либо файл shrinkwrap в реестр npm. если вы этого не сделаете, ваш опубликованный пакет будет подвержен неподкрепленным изменениям зависимостей ваших зависимостей 1-го поколения. вы не заметите, что это будет проблемой, пока одна из этих зависимостей 2-го поколения не опубликует критическое изменение, и ваш опубликованный пакет не получится таинственным образом поврежденным. Этот файл package-lock.json был создан для решения этой проблемы.
guerillapresident 10 сен. 2017, в 15:16
0

Не могли бы вы рассказать мне больше об этом "много шума для наших различий"? Я думаю, у меня есть идея, но я предпочитаю быть уверенным.
Beto Aveiga 10 нояб. 2017, в 15:13
5

@BetoAveiga by noise Я имею в виду, что коммиты с package-lock.json могут иметь так много строк версий пакета узла, что любая другая работа в этом коммите становится скрытой.
xer0x 25 нояб. 2017, в 07:45
6

Я обычно держу установки пакетов отдельно от других работ. Мне никогда не нужно разыгрывать коммит типа «Установленный чай и мокко», потому что я уже знаю, что изменилось.
Keith 14 дек. 2017, в 17:45
2

Любой совет относительно файла package-lock.json при работе в системе SCM с транками и ветвлениями? Я делаю некоторые изменения в ветке, которую нужно объединить с транком ... Должен ли я теперь (как-то) разрешать конфликты между двумя файлами package-lock.json ? Это больно.
kmiklas 23 янв. 2018, в 21:35
1

@ Guerillapresident Насколько я понимаю, вы частично правы. Публикация этого файла в npm не подлежит обсуждению. Вы не можете опубликовать это.
Tim Gautier 10 май 2018, в 15:03
1

@guerillapresident Вы не можете опубликовать файл package-lock.json: docs.npmjs.com/files/package-lock.json
Don 17 май 2018, в 15:32

Показать ещё 5 комментариев

22

Да, лучшая практика - зарегистрироваться

Я согласен, что это вызовет много шума или конфликта при просмотре diff. Но преимущества таковы:

гарантировать точно такую же версию каждого пакета. Эта часть является наиболее важной при построении в разных средах в разное время. Вы можете использовать ^1.2.3 в вашем package.json, но как вы можете быть уверены, что каждый раз, когда npm install будет подбирать одну и ту же версию на вашем компьютере разработчика и на сервере сборки, особенно эти пакеты косвенной зависимости? Что ж, package-lock.json обеспечит это. (С помощью npm ci который устанавливает пакеты на основе файла блокировки)
это улучшает процесс установки.
это помогает с новой функцией npm audit fix аудита npm audit fix (я думаю, что функция аудита взята из npm версии 6).

Xin Wang 15 июнь 2018, в 05:13

1

Насколько я знаю, никогда не использовать semver (который npm devs не понимает в любом случае) должно привести к тому же поведению, что и наличие файла блокировки, по крайней мере, в 99% случаев. Мой собственный опыт показывает, что полувернутые хакерские атаки происходят в основном с первичными пакетами (прямые зависимости, дерьмовые сборщики jquery и т. Д.). Мой личный опыт работы с npm заключается в том, что файлы блокировки всегда были шумом. Я надеюсь, что эта мудрость не изменилась с последними версиями.
Svend 25 июнь 2018, в 08:48
2

+1 за упоминание npm ci . Люди часто упоминают, что package-lock.json допускает детерминированную установку пакетов, но почти никогда не упоминают команду, которая облегчает это поведение! Многие люди, вероятно, ошибочно полагают, что npm install устанавливает именно то, что находится в файле блокировки ...
ahaurat 12 фев. 2019, в 00:18

16

Я не фиксирую этот файл в моих проектах. Какой смысл?

Генерируется
Это является причиной ошибки целостности кода SHA1 в gitlab со сборками gitlab-ci.yml

Хотя это правда, что я никогда не использую ^ в моем package.json для библиотек, потому что у меня был плохой опыт с этим :)

С уважением.

Deunz 12 июль 2018, в 15:23

5

Я хотел бы, чтобы это можно было более подробно изложить в документации по npm. Было бы полезно составить план того, что конкретно вы потеряете, не package-lock.json . Некоторые репозитории могут не требовать преимуществ, связанных с их наличием, и могут предпочесть не иметь автоматически сгенерированного контента в источнике.
PotatoFarmer 01 окт. 2018, в 22:32
0

Я вижу, как это может быть полезно для отладки (например, различия между двумя блокировками) для решения проблем. Я полагаю, что это также может быть использовано для предотвращения подобных вещей, но также может быть неприятно иметь его в общем репо, где могут возникнуть конфликты слияния из-за этого. Для начала я хочу, чтобы все было просто, я буду просто использовать package.json сам по себе, пока не увижу, что существует реальная потребность в package-lock.json.
radtek 14 март 2019, в 17:18

15

Людям, жалующимся на шум при выполнении git diff:

git diff -- . ':(exclude)*package-lock.json'

я использовал псевдоним

alias gd="git diff --ignore-all-space --ignore-space-at-eol --ignore-space-change --ignore-blank-lines -- . ':(exclude)*package-lock.json'"

Raza 22 июнь 2018, в 09:01

13

Да, вы можете зафиксировать этот файл. Из официальных документов npm:

package-lock.json автоматически генерируется для любых операций, где npm изменяет либо дерево node_modules, либо package.json. Он описывает точное дерево, которое было сгенерировано, так что последующие установки могут генерировать идентичные деревья, независимо от промежуточных обновлений зависимостей.

Этот файл предназначен для фиксации в исходных репозиториях [.]

Bablu Singh 06 окт. 2017, в 08:46

7

Не будет ли установка всегда обновлять node_modules и, следовательно, обновлять package-lock.json?
Tim Gautier 10 май 2018, в 15:01

1

Я использую npm для генерации уменьшенных/увеличенных css/js и для создания javascript, необходимого на страницах, обслуживаемых приложением django. В моих приложениях Javascript запускается на странице для создания анимации, иногда выполняет вызовы ajax, работает в рамках VUE и/или работает с CSS. Если package-lock.json имеет некоторый переопределенный контроль над тем, что находится в package.json, то может потребоваться, чтобы была одна версия этого файла. По моему опыту, это либо не влияет на то, что установлено с помощью npm install, либо, если это так, оно до сих пор не оказывало негативного влияния на приложения, которые я развернул, насколько мне известно. Я не использую mongodb или другие подобные приложения, которые традиционно являются тонкими клиентами.

Я удаляю package-lock.json из репозитория, поскольку npm install создает этот файл, а npm install является частью процесса развертывания на каждом сервере, на котором выполняется приложение. Контроль версий узла и npm выполняется вручную на каждом сервере, но я осторожен, что они одинаковы.

Когда на сервере запускается npm install, он изменяет package-lock.json, и если в файле, записанном репо на сервере, есть изменения, следующее развертывание НЕ БУДЕТ извлекать новые изменения из источника. То есть вы не можете развернуть, потому что pull будет перезаписывать изменения, сделанные в package-lock.json.

Вы даже не можете перезаписать локально сгенерированный package-lock.json тем, что находится в репозитории (сброс мастера жесткого происхождения), так как npm будет жаловаться, когда вы будете вводить команду, если package-lock.json не отражает то, что находится в node_modules из-за npm install, тем самым нарушая развертывание. Теперь, если это указывает на то, что в node_modules были установлены несколько разные версии, еще раз, это никогда не вызывало у меня проблем.

Если node_modules нет в вашем репо (и не должно быть), то package-lock.json следует игнорировать.

Если я что-то упустил, пожалуйста, исправьте меня в комментариях, но смысл, что версия взята из этого файла, не имеет смысла. Файл package.json содержит номера версий, и я предполагаю, что этот файл используется для сборки пакетов при установке npm, а когда я его удаляю, npm install жалуется на следующее:

jason@localhost:introcart_wagtail$ rm package.json
jason@localhost:introcart_wagtail$ npm install
npm WARN saveError ENOENT: no such file or directory, open '/home/jason/webapps/introcart_devtools/introcart_wagtail/package.json'

и сборка завершается неудачно, однако, при установке node_modules или применении npm для сборки js/css, никаких претензий не возникает, если я удаляю package-lock.json

jason@localhost:introcart_wagtail$ rm package-lock.json 
jason@localhost:introcart_wagtail$ npm run dev

> [email protected] dev /home/jason/webapps/introcart_devtools/introcart_wagtail
> NODE_ENV=development webpack --progress --colors --watch --mode=development

 10% building 0/1 modules 1 active ...

MagicLAMP 09 янв. 2019, в 05:10

-4

Отключить пакет-lock.json глобально

введите следующее в вашем терминале:

npm config set package-lock false

это действительно работает для меня, как магия

Balogun Ridwan Ridbay 26 окт. 2018, в 18:17

1

это создает ~/.npmrc (по крайней мере, на моих macos) с содержимым package-lock=false и то же самое можно сделать в любом конкретном проекте вместе с node_modules/ (например, echo 'package-lock=false' >> .npmrc
jimmont 30 нояб. 2018, в 18:09
2

Мне смешно, что это будет негативно. Сообщество npm просто не может смириться с тем, что автоматическая генерация package-lock.json была плохим участием сообщества. Вы не должны делать вещи, которые могут повлиять на процесс команды. это должна была быть опция включения, а не принудительная. сколько людей просто делают "git add *" и даже не замечают этого и не испортили сборки. Если у вас есть какой-либо поток, основанный на слиянии, я знаю, что git-поток похож на библию для людей, которые его используют, это не сработает. Вы не можете иметь поколение на слияние! Версия npm не работает, пакет: 1.0.0 должен быть детерминированным!
Eric Twilegar 05 фев. 2019, в 22:25
0

почему за это проголосовали? это явно законный способ отключения функции, которая не работает. И хотя он не отвечает на вопрос как таковой, он ставит вопрос на первый план. т.е. больше не нуждается в ответе. Недурно от меня :)
Superole 06 фев. 2019, в 16:34

Показать ещё 1 комментарий

Ещё вопросы

Краткий ответ: да. Один комментарий: при изменении package-lock.json вы можете сделать фиксацию только этого изменения, отдельно от других исходных изменений. Это облегчает работу с git log .
Файл не может помочь произвести детерминированную установку, если он не существует.
Зависит от проекта. github.com/npm/npm/issues/20603
Если вы действительно уверены, что npm уверен, цель состоит в том, чтобы более четко сообщить, что использует проект. Если вы действительно хотите предсказуемость, проигнорируйте этот файл и установите вместо него ваши node_modules (см. .Npmrc и соответствующий конфиг в ответах + комментарии) и используйте это для отслеживания того, что на самом деле меняется, а не того, что ваш менеджер пакетов утверждает, что делает. В конечном итоге: что важнее? Ваш менеджер пакетов или код, который вы используете.
Справедливо спорить о том, следует ли проверять его в своем репозитории исходного кода, но публикация этого файла в npm на самом деле не подлежит обсуждению - вы должны включить либо свой package-lock.json, либо файл shrinkwrap в реестр npm. если вы этого не сделаете, ваш опубликованный пакет будет подвержен неподкрепленным изменениям зависимостей ваших зависимостей 1-го поколения. вы не заметите, что это будет проблемой, пока одна из этих зависимостей 2-го поколения не опубликует критическое изменение, и ваш опубликованный пакет не получится таинственным образом поврежденным. Этот файл package-lock.json был создан для решения этой проблемы.
Не могли бы вы рассказать мне больше об этом "много шума для наших различий"? Я думаю, у меня есть идея, но я предпочитаю быть уверенным.
@BetoAveiga by noise Я имею в виду, что коммиты с package-lock.json могут иметь так много строк версий пакета узла, что любая другая работа в этом коммите становится скрытой.
Я обычно держу установки пакетов отдельно от других работ. Мне никогда не нужно разыгрывать коммит типа «Установленный чай и мокко», потому что я уже знаю, что изменилось.
Любой совет относительно файла package-lock.json при работе в системе SCM с транками и ветвлениями? Я делаю некоторые изменения в ветке, которую нужно объединить с транком ... Должен ли я теперь (как-то) разрешать конфликты между двумя файлами package-lock.json ? Это больно.
@ Guerillapresident Насколько я понимаю, вы частично правы. Публикация этого файла в npm не подлежит обсуждению. Вы не можете опубликовать это.
@guerillapresident Вы не можете опубликовать файл package-lock.json: docs.npmjs.com/files/package-lock.json
Насколько я знаю, никогда не использовать semver (который npm devs не понимает в любом случае) должно привести к тому же поведению, что и наличие файла блокировки, по крайней мере, в 99% случаев. Мой собственный опыт показывает, что полувернутые хакерские атаки происходят в основном с первичными пакетами (прямые зависимости, дерьмовые сборщики jquery и т. Д.). Мой личный опыт работы с npm заключается в том, что файлы блокировки всегда были шумом. Я надеюсь, что эта мудрость не изменилась с последними версиями.
+1 за упоминание npm ci . Люди часто упоминают, что package-lock.json допускает детерминированную установку пакетов, но почти никогда не упоминают команду, которая облегчает это поведение! Многие люди, вероятно, ошибочно полагают, что npm install устанавливает именно то, что находится в файле блокировки ...
Я хотел бы, чтобы это можно было более подробно изложить в документации по npm. Было бы полезно составить план того, что конкретно вы потеряете, не package-lock.json . Некоторые репозитории могут не требовать преимуществ, связанных с их наличием, и могут предпочесть не иметь автоматически сгенерированного контента в источнике.
Я вижу, как это может быть полезно для отладки (например, различия между двумя блокировками) для решения проблем. Я полагаю, что это также может быть использовано для предотвращения подобных вещей, но также может быть неприятно иметь его в общем репо, где могут возникнуть конфликты слияния из-за этого. Для начала я хочу, чтобы все было просто, я буду просто использовать package.json сам по себе, пока не увижу, что существует реальная потребность в package-lock.json.
Не будет ли установка всегда обновлять node_modules и, следовательно, обновлять package-lock.json?
это создает ~/.npmrc (по крайней мере, на моих macos) с содержимым package-lock=false и то же самое можно сделать в любом конкретном проекте вместе с node_modules/ (например, echo 'package-lock=false' >> .npmrc
Мне смешно, что это будет негативно. Сообщество npm просто не может смириться с тем, что автоматическая генерация package-lock.json была плохим участием сообщества. Вы не должны делать вещи, которые могут повлиять на процесс команды. это должна была быть опция включения, а не принудительная. сколько людей просто делают "git add *" и даже не замечают этого и не испортили сборки. Если у вас есть какой-либо поток, основанный на слиянии, я знаю, что git-поток похож на библию для людей, которые его используют, это не сработает. Вы не можете иметь поколение на слияние! Версия npm не работает, пакет: 1.0.0 должен быть детерминированным!
почему за это проголосовали? это явно законный способ отключения функции, которая не работает. И хотя он не отвечает на вопрос как таковой, он ставит вопрос на первый план. т.е. больше не нуждается в ответе. Недурно от меня :)

vine77 · Accepted Answer · 2017-05-26T22-38-00.000Z

963

Лучший ответ

Да, package-lock.json предназначен для проверки в системе контроля package-lock.json. Если вы используете npm 5, вы можете увидеть это в командной строке: created a lockfile as package-lock.json. You should commit this file. created a lockfile as package-lock.json. You should commit this file. Согласно npm help package-lock.json:

package-lock.json автоматически генерируется для любых операций, где npm изменяет либо дерево node_modules, либо package.json. Он описывает точное дерево, которое было сгенерировано, так что последующие установки могут генерировать идентичные деревья, независимо от промежуточных обновлений зависимостей.

Этот файл предназначен для фиксации в исходных хранилищах и предназначен для различных целей:

Опишите единственное представление дерева зависимостей, чтобы товарищи по команде, развертывания и непрерывная интеграция гарантированно устанавливали одинаковые зависимости.

Предоставьте пользователям возможность "путешествовать во времени" к предыдущим состояниям node_modules без необходимости фиксации самого каталога.

Для облегчения большей видимости изменений в дереве с помощью читаемых исходных текстов контроля.

И оптимизировать процесс установки, позволяя npm пропускать повторяющиеся разрешения метаданных для ранее установленных пакетов.
Одним из ключевых package-lock.json является то, что он не может быть опубликован и будет игнорироваться, если будет найден в любом месте, кроме пакета верхнего уровня. Он разделяет формат с npm-shrinkwrap.json(5), который по сути является тем же файлом, но допускает публикацию. Это не рекомендуется, если только не развертывается инструмент CLI или иным образом не используется процесс публикации для создания производственных пакетов.

Если в корне пакета присутствуют и package-lock.json и npm-shrinkwrap.json package-lock.json, то package-lock.json будет полностью проигнорирован.

vine77 26 май 2017, в 22:38

0

Отличная находка, спасибо! Я не могу дождаться, чтобы попробовать npm 5 для моих проектов на предстоящей неделе, читал отличные вещи об этом.
rink.attendant.6 27 май 2017, в 02:00
43

В каких проектах на самом деле полезно зафиксировать файл? Весь смысл semver и package.json в том, что обновленные совместимые зависимости не должны быть отмечены.
curiousdannii 27 май 2017, в 12:05
33

Ключевое слово «не должно быть», но на практике люди не следуют полностью. Вот почему вы можете использовать package-lock.json и package.json вместе, чтобы упростить обновление пакетов, но при этом убедитесь, что каждый разработчик и каждое развернутое приложение используют одно и то же дерево зависимостей.
Panu Horsmalahti 31 май 2017, в 08:51
1

Но предназначен ли он для контроля версий для приложений верхнего уровня? Или также проверено в контроле исходного кода для пакетов библиотеки?
trusktr 17 июнь 2017, в 22:35
20

@trusktr: Sindre Sorhus рекомендует использовать «Lockfiles для приложений, но не для пакетов».
vine77 23 июнь 2017, в 18:17
17

Другое дело, что package-lock.json игнорируется для публикации в NPM, поэтому, если разработчик использует его для разработки библиотеки, он сводит к минимуму вероятность того, что он поймает регрессию из обновленной версии зависимости, и, следовательно, пропустит это ошибка на конечных пользователей. По этой причине отсутствие файла блокировки для библиотеки dev повышает вероятность отправки меньшего количества ошибок.
trusktr 19 июль 2017, в 22:49
0

@trusktr Я думаю, что мы могли бы рассмотреть возможность добавления предостережения о пакетах и приложениях к этому ответу - что вы думаете?
mikermcneil 27 июль 2017, в 02:19
0

Я разрабатываю два пакета: библиотеку и пример приложения с использованием библиотеки. Я хочу внести множество изменений в библиотеку при написании примера приложения. Я развернул пример приложения на Heroku. Новый NPM хочет запомнить хеш коммита, который я использовал при наборе npm install github: <my_library>. Когда я публикую его на Heroku, он использует старую версию. Я должен напечатать npm install в папке примера приложения каждый раз после фиксации библиотеки на GitHub. Конечно, очень часто я забываю это делать. Как заставить NPM не блокировать репозиторий GitHub?
Brian Haak 27 июль 2017, в 16:38
0

@mikermcneil может быть хорошая идея!
trusktr 27 июль 2017, в 18:34
1

@BrianHaak - это новый вопрос, а не комментарий. Также npm link .
trusktr 27 июль 2017, в 18:34
2

@mikermcneil Не похоже, что вопрос о файлах блокировок для библиотек имеет общее мнение. Например, Джеймс Кайл рекомендует фиксировать файлы блокировок для библиотек / пакетов, чтобы облегчить участие.
vine77 27 июль 2017, в 19:25
72

Лично мне теперь пришлось прибегнуть к добавлению package-lock.json к моему .gitignore ... это доставляло мне гораздо больше проблем, чем их решение. Он всегда конфликтует, когда мы объединяем или перебазируем, и когда объединение приводит к повреждению package-lock.json на CI-сервере, просто нужно продолжать его исправлять.
Stefan Z Camilleri 13 авг. 2017, в 18:37
11

@StefanZCamilleri здесь то же самое, не говоря уже о том, что он имел тенденцию занимать первые несколько высот экрана любого различия в инструментах обзора кода. Насколько я могу видеть, огромная боль в заднице почти не приносит пользы.
Thor84no 18 окт. 2017, в 13:01
1

@ Thor84no Я перешел на пряжу. Имеет несколько незначительных неблокирующих несовместимостей, но это очень быстро по сравнению с npm
Stefan Z Camilleri 19 окт. 2017, в 09:30
5

Если я правильно понимаю, что все это означает ... так как файл игнорируется при публикации вашего пакета ... эта "воспроизводимость" имеет высокую цену. А именно ... в то время как у меня есть кое-что воспроизводимое для меня и моих со-разработчиков, работающих из проверенного источника. Люди, устанавливающие мой опубликованный пакет, могут получить что-то совершенно другое. Так что ... в основном я и мои коллеги-разработчики, возможно, не замечаем, что изменения зависимостей ломают вещи, но наши пользователи, устанавливающие опубликованный пакет, сделают это.
Kris 31 янв. 2018, в 22:37
2

@ vine77 Побочным вопросом будет: «Должны ли мы .gitattributes его как двоичный в наших .gitattributes чтобы изменения не просматривались?» РЕДАКТИРОВАТЬ: Фактически нашел часть ответа ЗДЕСЬ
KOTIX 06 фев. 2018, в 21:37
0

Некоторые разработчики предпочитают не фиксировать файлы блокировки для своих библиотечных пакетов, поскольку считают, что они могут перехватывать и устранять проблемы с зависимостями раньше, чем пользователи. Это ошибочный аргумент, как отмечается в посте "Lockfiles должен быть зафиксирован во всех проектах" . Отказ от фиксации файла блокировки также затрудняет добавление новой библиотеки в вашу библиотеку.
Dennis 08 фев. 2018, в 01:31
5

Я не делаю это Я удаляю этот файл каждый раз, когда он генерируется. Если есть какие-либо проблемы, я удаляю каталог node_modules / и снова запускаю npm install. Я даже меняю каждую версию на * в зависимостях и devDependencies. Мое отношение, если есть проблема, решить ее. Я бы лучше использовал все последние версии. Все, что устарело, заставляет меня чувствовать себя плохо.
Elgs Qian Chen 27 фев. 2018, в 02:08
0

Да, вы можете включить его, но если используется разрешенное поле, добавьте относительные URL-адреса вместо ссылки на npmjs.org для поддержки внутренних репозиториев за брандмауэром.
bvamos 09 март 2018, в 10:01
0

Каждый раз, когда я запускаю npm install . Значение в полях integrity изменяется, даже если версия пакетов является сохраненной. Есть идеи, как это происходит?
FisNaN 17 апр. 2018, в 01:28
1

@Dennis Рассуждения в этом посте блога Yarn очень недальновидны и на них нельзя полагаться. Он рассматривает только случай ошибки, вносимой в зависимость, которая будет исправлена в следующем выпуске, не требуя изменений в вашей библиотеке. К сожалению, в реальной жизни не все проблемы с зависимостями связаны с вышестоящими ошибками, которые исчезают сами по себе без каких-либо действий.
pfrenssen 06 июнь 2018, в 15:52
0

Я также gitignore этот файл, потому что клонирование репозитория и запуск npm install на нем немедленно показывает, что есть изменения в package-lock.json со git status . Несмотря на то, что ничего не изменилось в файле, я думаю, что это просто касается файла. Я думаю, что наличие этого в git просто смущает разработчиков. Кроме того, это массивный файл, который даже собирается пройти через него, «найти ошибки» в зависимостях, удачи в этом!
Miguel Reyes 28 фев. 2019, в 20:58

Показать ещё 20 комментариев