到底锁不锁 NPM 依赖树

2019-12-26 本文已影响0人四爷在此

看两个已有的回答：

image.png

写不写到 ignore 里面，取决于团队。是否需要稳定的codebase，抑或是相信依赖包项目可以自己fix 一些问题而不会导致依赖混乱。这两者不可兼得

稳定的codebase ，就是 lock 所有依赖包以及依赖包的依赖包版本，精确到 patch 版本号，保证每次项目构建都能跑起来。但是很多第三方库的bug还是bug，可能一直不被 fix，因为 lock 版本了。这种选择需要开发者手动升级版本库（按需升级 npm install package@x.x.x），并且commit lock 文件到 repo，供其他团队成员去跟随安装。
抑或是放开版本，随着时间推移，package.json 会拿到相对新的第三方库，所以不同时间codebase 不同，也许会跑不起来，也许会 fix 掉一些lib 的问题。（自动升级）

lock 版本，实际上包括了 nested dependency，这是关键的。保证exact 版本号，精确的依赖树，这是稳定为王的选择，但是需要每个团队成员手动更新包之后，要确认能跑起来，并且 commit lock.json ，这是比较靠谱的

.npmrc 文件可用于配制私有仓库

@company:registry=https://xxx.com

Served by any NPM registry server. 可以参考下 verdaccio 这个库