对NPM收缩膜的理解

Question

最近发现了npm-audit，并且在第一次运行时就标记了许多漏洞，主要是围绕包及其依赖项。

为了解决这些漏洞，我发现了npm shrinkwrap，它允许我指定应该使用哪些版本及其依赖项？这就是我对它的看法(请纠正我的错误，在这里学习)。

我试图修复的一个例子是模块hoek，在我的package.json中，这个设置为"hoek": "^5.0.3"。

当我运行npm shrinkwrap时，其中一个依赖项将hoek设置为版本2

"boom": {
  "version": "2.10.1",
  "resolved": "https://registry.npmjs.org/boom/-/boom-2.10.1.tgz",
  "integrity": "sha1-OciRjO/1eZ+D+UkqhI9iWt0Mdm8=",
  "requires": {
    "hoek": "2.x.x"
  },
  "dependencies": {
    "hoek": {
      "version": "2.16.3",
      "resolved": "https://registry.npmjs.org/hoek/-/hoek-2.16.3.tgz",
      "integrity": "sha1-ILt0A9POo5jpHcRxCo/xuCdKJe0="
    }
  }
},

我想我可以编辑它，并指定我想让依赖项像这样使用的版本

  "boom": {
  "version": "2.10.1",
  "resolved": "https://registry.npmjs.org/boom/-/boom-2.10.1.tgz",
  "integrity": "sha1-OciRjO/1eZ+D+UkqhI9iWt0Mdm8=",
  "dev": true,
  "requires": {
    "hoek": "2.x.x"
  },
  "dependencies": {
    "hoek": {
      "version": "5.0.3",
      "resolved": "https://registry.npmjs.org/hoek/-/hoek-5.0.3.tgz",
      "integrity": "sha1-ILt0A9POo5jpHcRxCo/xuCdKJe0=",
      "dev": true
    }
  }
},

但是，当我运行npm shrinkwrap或npm install时，所有这些都会恢复到原来的

我该怎么处理这件事？收缩包装是正确的选择，还是我试图用它来做我根本做不到的事情？

谢谢

Answer 1

NPM 收缩包装用于锁定项目中的依赖版本。

在使用npm安装或npm安装包名称并更新node_modules文件夹之后，您应该运行npm收缩包装。

它将创建新的npm-shrinkwrap.json文件，其中包含有关您使用的所有包的信息，您必须提交该文件。

下一次，当有人调用npm-shrinkwrap.json npm时，它将从安装包，您将在所有机器上拥有相同的环境。