我的一个同事的 PR 包含一个 package-lock.json 更新,其中添加了"optional": true:
"minimist": {
"version": "0.0.8",
"bundled": true,
- "dev": true
+ "dev": true,
+ "optional": true
},
"minipass": {
即使在谷歌搜索之后,我也不确定这意味着什么。有人可以解释一下吗?
【问题讨论】:
来自https://docs.npmjs.com/files/package-lock.json#optional:
如果为真,那么这个依赖要么是顶层模块的可选依赖,要么是一个传递依赖。这对于既是顶层的可选依赖又是顶层非可选依赖的传递依赖的依赖是错误的。
合并此更改是安全的。
您看到此更改的原因很可能是因为npm slightly changed how package-lock.json is structured in version 6.6。你的伙伴基本上是在先前使用 npm 6.5- 生成的 package-lock.json 上使用 npm 6.6+ 运行 npm install。
通过确保团队中的每个人都使用最新版本的npm,您应该能够避免此类问题。
【讨论】:
从依赖项中删除一个包后,它的依赖项在package-lock.json 中标记为"optional": true。
手动或手动移除此类包通常是安全的
$ rm -rf package-lock.json node_modules/
$ npm install
但是,这不是 100% 安全的,因为某些软件包会更新到较新的版本。
【讨论】:
npm i最近没有运行,你就错了。
npm i 并不是 100% 安全的观点。
npm i 并且它可以工作”。如果你的构建依赖于你在npm i 之后对你的包所做的更改,那么你在 80 年代后期的开发过程几乎是一样的:你需要将本地机器上的准确副本上传到服务器上才能正常工作。在这种情况下,您根本不应该使用节点。您可以简单地将所有需要的供应商资产放在一个文件夹中,然后从那里加载它们。
npm i。事实上,npm 维护者甚至为我们提供了一个真正安全的替代方案:npm ci,正如 de docs 所提到的,它是为 CI 环境设计的。现在,如果您认为这是否理想,您可以提出异议,但这是您必须与 NPM 团队本身讨论的问题。
npm i,除非您将所有依赖项都固定到特定版本,否则绝不是一个好主意。希望您在 CI 管道中进行了测试,以至少在其投入生产之前发现可能出现的任何问题。
其中一个原因是:
一些 npm 包可能需要依赖包(例如 minimist)才能在不同的操作系统中工作。 NPM 在 npm install 上将此包标记为可选,如果有的话,根据您使用的操作系统,它不是必需的。
请检查以下问题:
打开问题:package-lock.json 和可选包:https://github.com/npm/npm/issues/17722
希望对你有帮助。
【讨论】: