不同npm版本产生不同的包锁结果

Question

我正在玩一个新的typescript react应用程序。(使用CRA创建)我在PC上使用npm@5.6.0，在另一台电脑上使用@6.4.1。新版本安装依赖项的版本比新版本旧。较新的一个在安装后还显示了63个低严重性漏洞。

installed with 5.6.0
        "@babel/code-frame": "7.0.0",
        "@babel/generator": "7.4.0",
        "@babel/helpers": "7.4.2",
        "@babel/parser": "7.4.2",
        "@babel/template": "7.4.0",
        "@babel/traverse": "7.4.0",
        "@babel/types": "7.4.0",
        "convert-source-map": "1.6.0",
        "debug": "4.1.1",
        "json5": "2.1.0",
        "lodash": "4.17.11",
        "resolve": "1.10.0",
        "semver": "5.6.0",
        "source-map": "0.5.7"

    installed with 6.4.1
        "@babel/code-frame": "^7.0.0",
        "@babel/generator": "^7.2.2",
        "@babel/helpers": "^7.2.0",
        "@babel/parser": "^7.2.2",
        "@babel/template": "^7.2.2",
        "@babel/traverse": "^7.2.2",
        "@babel/types": "^7.2.2",
        "convert-source-map": "^1.1.0",
        "debug": "^4.1.0",
        "json5": "^2.1.0",
        "lodash": "^4.17.10",
        "resolve": "^1.3.2",
        "semver": "^5.4.1",
        "source-map": "^0.5.0"

Answer 1

来自npm文档：https://docs.npmjs.com/files/package-locks

不同版本的npm (或其他包管理器)可能已用于安装包，每个包使用略有不同的安装算法。

如果不使用包锁定来安装，则可能会产生不同的输出。

这就是为什么你需要在第一次安装后提交package-lock.json文件，以确保团队中的任何人在安装后运行npm install都会得到与完全相同的依赖树。