提交package-lock.json值得吗？

Question

我有一个在NodeJS上发布的GitHub项目，它使用了一些NPM模块，如我的package.json中所指定的那样。我已经把我的package-lock.json投入到回购中了。

最近，我在我的存储库中收到了关于我的依赖项中最近发现的一个安全漏洞的通知。经过进一步的检查，它不是我的直接依赖项中的一个存在漏洞，而是我的一个依赖项所依赖的模块。因为所有模块都显示在我的package-lock.json中，所以通知我要将该依赖项更新为最新版本。

- myproject
  - someDependency
  - anotherDependency
    - aSubDependency
    - anotherOne <--- this one has a security issue

因此，现在我不得不问:是否值得提交一个package-lock.json？如果没有package-lock.json，我的项目中就不会有任何安全漏洞。现在，我被迫更新我的项目和重新发布仅仅是为了更新package-lock.json。如果该文件根本不存在，那么问题就会自行解决，因为任何只使用install或update对我的项目执行package.json的人都会自动从流上获取更新的依赖项。

就像这样想。鲍勃创建moduleA。然后，其他人创建了依赖于moduleB的moduleA。然后，世界上1000名开发人员创建了各种直接依赖moduleB的项目。如果Bob发现了moduleA中的安全漏洞，那么现在有1000个人必须对他们的1000个项目进行更新才能修复这一切，因为他们正在提交他们的package-lock.json。

所以值得吗？package-lock.json的优点是否超过了这个主题的缺点？

Answer 1

是的，值得

此文件旨在提交到源存储库中，并用于各种用途：

• 描述依赖树的单个表示，这样可以保证队友、部署和持续集成安装完全相同的依赖关系。
• 为用户提供一个工具，使其可以“穿越”到以前的node_modules状态，而不必提交目录本身。
• 通过可读的源代码管理差异，方便树更改的更大可见性。
• 并通过允许npm跳过以前安装的软件包的重复元数据解析来优化安装过程。

见国家预防机制文件

参见GitHub --“查看和更新存储库中易受攻击的依赖项”