| 1 | <h1 style="font-weight: normal"> npm shrinkwrap </h1>
|
| 2 |
|
| 3 | <h2 style="font-weight: normal"> 什么是 npm shrinkwrap? </h2>
|
| 4 |
|
| 5 | npm shrinkwrap 是 npm 包管理器的一项功能。可以按照当前项目 node_modules 目录内的安装包情况生成稳定的版本号描述。shrinkwrap 文件的结构类似以下这种形式:
|
| 6 |
|
| 7 | ```json
|
| 8 | {
|
| 9 | "name": "A",
|
| 10 | "version": "1.1.0",
|
| 11 | "dependencies": {
|
| 12 | "B": {
|
| 13 | "version": "1.0.1",
|
| 14 | "from": "B@^1.0.0",
|
| 15 | "resolved": "https://registry.npmjs.org/B/-/B-1.0.1.tgz",
|
| 16 | "dependencies": {
|
| 17 | "C": {
|
| 18 | "version": "1.0.1",
|
| 19 | "from": "org/C#v1.0.1",
|
| 20 | "resolved": "git://github.com/org/C.git#v1.0.1"
|
| 21 | }
|
| 22 | }
|
| 23 | }
|
| 24 | }
|
| 25 | }
|
| 26 | ```
|
| 27 |
|
| 28 | <h2 style="font-weight: normal"> 为什么需要它? </h2>
|
| 29 |
|
| 30 | 在没有 shrinkwrap 的项目中,任意一个依赖包都可能在开发者不知情的情况下发生改动,进而引发线上故障。
|
| 31 |
|
| 32 | 在一个 JavaScript 项目中,每次执行 `npm install`,最后生成的结果可能是不一样的。譬如说现在某个项目依赖了模块 A, 虽然我们可以为它指定一个固定的版本号,然而 A 所依赖的其它模块版本使用的是 npm semver 规则(semantic version,npm 模块依赖默认遵循的规则)。它并不严格规定版本,而是选择符合当前 semver 规则的最新版本进行安装。
|
| 33 |
|
| 34 | 一个简单的例子:假如模块 A 中依赖了 B,并且在 A 的 package.json 中指定 B 的 semver 为 ~1.2.3,那么所有形式为 1.2.x 的版本都是符合规则的。当模块 B 更新了一个 1.2.x 的小版本后,项目在下次构建中就会获取到它。
|
| 35 |
|
| 36 | semver 这样设计的初衷是使模块的开发者可以将 bugfix 等微小的改动能更便捷地到达使用方。但它的负面影响却是使每次 npm install 构建过程之间,项目内的模块内容随时可能发生改变。我们没法确定在每个模块内部,每一次小版本更新时究竟是加入了 bugfix,还是改变了 API,亦或是注入了恶意代码。
|
| 37 |
|
| 38 | 为了保证线上构建的稳定性,我们决定�强制在每个 Ykit 的项目中添加 shrinkwrap。
|
| 39 |
|
| 40 | <h2 style="font-weight: normal"> 业务需要做什么? </h2>
|
| 41 |
|
| 42 | Ykit 会在一个项目 commit 之前检查并更新 `npm-shrinkwrap.json`(如果没有则会生成一个),业务需要做的只是将这个文件提交,保持它是最新的即可。当然也可以执行`npm shrinkwrap` 来进行手动更新。
|
| 43 |
|
| 44 | <h2 style="font-weight: normal"> 错误处理 </h2>
|
| 45 |
|
| 46 | 生成 `npm-shrinkwrap.json` 过程的中报错,大多是因为 package.json 和 node_modules 中模块版本不一致(其实是不应该出现的),按照提示的错误改正即可。
|
| 47 |
|
| 48 | 
|
| 49 |
|
| 50 | 如果还有问题请 qtalk 联系 `yuhao.ju`。
|