刚刚从3点到5点更新,以使用此功能 .
对不起,我一定错过了一些非常明显的东西,但是如何在安装时让npm尊重 package-lock.json 文件中的固定版本?
假设我的 package.json
有一些过时的软件包 . 做一个 npm install
会吸引新的东西并破坏我的应用程序 .
例如,我想要稳定的主程序包是 bootstrap
- 我想暂时在 bootstrap@4.0.0-alpha.6 阻止它的版本,但 npm install
找到 4.0.0-beta.28 .
如果我 npm update
任何包, package-lock.json 得到更新 .
我们去我的开发目录 .
这是我的boot.rap的package.json条目:
"bootstrap": "^4.0.0-alpha.6"
这就是我对已安装的软件包和元数据的看法:
$ npm list 2>/dev/null | grep bootstrap
├─┬ bootstrap@4.0.0-alpha.6
├─┬ bootstrap-vue@0.16.1
│ ├── bootstrap@4.0.0-alpha.6 deduped
(env) jluc@py$ grep bootstrap package.json package-lock.json
package.json: "bootstrap": "^4.0.0-alpha.6",
package.json: "bootstrap-vue": "^0.16.1",
package-lock.json: "bootstrap": {
package-lock.json: "version": "https://registry.npmjs.org/bootstrap/-/bootstrap-4.0.0-alpha.6.tgz",
package-lock.json: "bootstrap-vue": {
package-lock.json: "version": "https://registry.npmjs.org/bootstrap-vue/-/bootstrap-vue-0.16.1.tgz",
package-lock.json: "bootstrap": "https://registry.npmjs.org/bootstrap/-/bootstrap-4.0.0-alpha.6.tgz",
看起来不错 . 锁是 bootstrap-4.0.0-alpha.6 .
但我如何使用它实际上使用package-lock.json?
这是我做的:
-
创建了一个全新的目录
-
复制在 package.json 和 package-lock.json
-
跑
npm install
.
不好 . npm再次发现bootstrap beta和 package-lock.json 没有效果,事实上它是从 npm install
所做的那样重写的 . 这与你在开发中想要的行为一致,但是没有告诉我如何使用lockfile来稳定我的包 .
(env) jluc@trynpmlock$ npm list 2>/dev/null | grep bootstrap
├── bootstrap@4.0.0-beta.2
├─┬ bootstrap-vue@0.16.1
│ ├── bootstrap@4.0.0-beta.2 deduped
(env) jluc@trynpmlock$ grep bootstrap package.json package-lock.json
package.json: "bootstrap": "^4.0.0-alpha.6",
package.json: "bootstrap-vue": "^0.16.1",
package-lock.json: "bootstrap": {
package-lock.json: "resolved": "https://registry.npmjs.org/bootstrap/-/bootstrap-4.0.0-beta.2.tgz",
package-lock.json: "bootstrap-vue": {
package-lock.json: "resolved": "https://registry.npmjs.org/bootstrap-vue/-/bootstrap-vue-0.16.1.tgz",
package-lock.json: "bootstrap": "4.0.0-beta.2",
-
如果我删除 package.json 并且只有 package-lock.json 的目录,那么
npm install
安装很少,并留下一个截断的 package-lock.json -
npm install有一个
--no-package-lock
选项,但这会阻止更新 package-lock.json .
基本上我怎么告诉npm从package.json安装所有东西,但尊重package-lock.json中的锁?我是否使用与 npm install
不同的命令?这是因为当你完整地安装package.json时,npm install 's doc refers to locks in the context of a package installation, but locks don' t是否适用?
是的,我知道我可以指定 "bootstrap": "4.0.0-alpha.6"
,减去 ^
来手动固定版本 .
My environment:
(env) jluc@py$ npm -v
5.5.1
1 回答
根据this comment member of the npm CLI team,你所描述的是"high priority bug" .
开发中还有另一个名为cipm的工具,它将严格基于package-lock.json进行安装 . 这可能是你真正想要的 . 它的推理由another npm CLI engineer在same thread中描述 . :
GitHub issue 17979以及此SO线程中有更多详细信息:Why does "npm install" rewrite package-lock.json?
还值得注意的是,有another GitHub issue更新package-lock.json周围的文档 .