谁能告诉我 package-lock.json 文件的确切用途?
尽管许多人提到它用于查看版本依赖树。
寻找简单易懂的解释。
提前致谢。
谁能告诉我 package-lock.json 文件的确切用途?
尽管许多人提到它用于查看版本依赖树。
寻找简单易懂的解释。
提前致谢。
npm install
使用这个文件来确保它要安装的包与这个文件中规定的相同。它使npm install
跨机器的操作保持一致。因此,您将不太可能对node_modules
文件夹进行核攻击。
在一致的包视图之上,GitHub 还使用 package-lock.json 来扫描您的存储库是否包含已知的安全漏洞。
您可以使用lock-walker直观地遍历依赖关系树package-lock.json
,这在检查安全漏洞时特别有用。