4

谁能告诉我 package-lock.json 文件的确切用途?

尽管许多人提到它用于查看版本依赖树。

寻找简单易懂的解释。

提前致谢。

4

2 回答 2

3

npm install使用这个文件来确保它要安装的包与这个文件中规定的相同。它使npm install跨机器的操作保持一致。因此,您将不太可能对node_modules文件夹进行核攻击。

在一致的包视图之上,GitHub 还使用 package-lock.json 来扫描您的存储库是否包含已知的安全漏洞。

您可以使用lock-walker直观地遍历依赖关系树package-lock.json,这在检查安全漏洞时特别有用。

于 2018-05-22T01:49:26.913 回答
1

我认为npm 文档非常具有解释性。其主要目的是提供

依赖关系树的单一表示,这样可以保证队友、部署和持续集成安装完全相同的依赖关系。

因此,例如在不同的系统和/或不同的人上,将使用相同的依赖项(和相同的版本)。如需更好的解释,请参阅

希望这可以帮助。

于 2017-10-10T07:28:33.380 回答