package-lock.json 有何作用，如果沒有會出現(xiàn)什么問題

用以鎖定版本號，保證開發(fā)環(huán)境與生產(chǎn)環(huán)境的一致性，避免出現(xiàn)不兼容 API 導(dǎo)致生產(chǎn)環(huán)境報錯

在這個問題之前，需要了解下什么是 semver: 什么是 semver

當(dāng)我們在 npm i 某個依賴時，默認(rèn)的版本號是最新版本號 ^1.2.3，以 ^ 開頭可最大限度地使用新特性，但是某些庫不遵循該依賴可能出現(xiàn)問題

「我們看沒有 lock 時，線上環(huán)境的風(fēng)險是如何產(chǎn)生的」

• pkg 1.2.3: 首次在開發(fā)環(huán)境安裝 pkg 庫，為此時最新版本 1.2.3，dependencies 依賴中顯示 ^1.2.3，實際安裝版本為 1.2.3

• pkg 1.19.0: 在生產(chǎn)環(huán)境中上線項目，安裝 pkg 庫，此時最新版本為 1.19.0，滿足 dependencies 中依賴 ^1.2.3 范圍，實際安裝版本為 1.19.0，但此過程中引入了 Breaking Change，導(dǎo)致線上bug，且不可測難以調(diào)試

而當(dāng)有了 lock 文件時，每一個依賴的版本號都被鎖死在了 lock 文件，每次依賴安裝的版本號都從 lock 文件中進行獲取，避免了不可測的依賴風(fēng)險

「但此時依然有問題: 你使用的第三方庫的 lockfile 問題。你自己項目中所有依賴都會被鎖死，但并不是依照你第三方依賴的 lockfile 進行鎖死，這可能出現(xiàn)潛在的問題。」

「舉例說明依賴的依賴的 lockfile 可能存在的問題」

你自己的項目依賴 react，而 object-assign 是 react 的依賴

對于 React 的依賴使用 semver 表示如下

• react@^17.0.2

• object-assign@^4.1.1

在 React 的第三方庫中 lockfile 中的庫版本為

• [email protected]

• [email protected]

而在業(yè)務(wù)項目中 lockfile 中的庫版本為

• [email protected]

• [email protected]: 與 react 的 lockfile 中的依賴不符

此時的 object-assign 作為依賴的依賴有可能會存在問題。

所以此時引出下一個問題: 第三方庫需要提交 yarn.lock/packagelock.json 嗎

實際上，對于庫的開發(fā)者而言是需要而且必要的，但需要實時把 depdendencies 保持在較新版本或者較小的版本范圍，如使用 ~1.2.3 來 代替 ^1.2.3