28

我们有一个私有的 JFrog 工件(名称在下面匿名),它在项目根 .npmrc -file 中配置了 npm:

registry=https://artifactory.jfrog.private.com:443/api/npm/npm-registry-virtual/

开发人员之间通过 Git 共享的 package-lock.json 文件中的已解析字段在“npm install”运行之间不断变化,而 package.json 没有任何更改。

有时 dl 查询参数(指向完全相同的 URL)被添加到解析的 URL:

- "resolved": "https://artifactory.jfrog.private.com:443/api/npm/npm-registry-virtual/@sailshq/lodash/-/lodash-3.10.3.tgz",
+ "resolved": "https://artifactory.jfrog.private.com:443/api/npm/npm-registry-virtual/@sailshq/lodash/-/lodash-3.10.3.tgz?dl=https://artifactory.jfrog.private.com/@sailshq/lodash/-/lodash-3.10.3.tgz",

有时查询参数指向 npmjs.org 注册表:

 - "resolved": "https://artifactory.jfrog.private.com:443/api/npm/npm-registry-virtual/aproba/-/aproba-1.2.0.tgz",
 - "resolved": "https://artifactory.jfrog.private.com:443/api/npm/npm-registry-virtual/aproba/-/aproba-1.2.0.tgz?dl=https://registry.npmjs.org/aproba/-/aproba-1.2.0.tgz",

有时该字段直接指向 npmjs.org 存储库:

- "resolved": "https://artifactory.jfrog.private.com:443/api/npm/npm-registry-virtual/acorn/-/acorn-3.3.0.tgz",
+ "resolved": "https://registry.npmjs.org/acorn/-/acorn-3.3.0.tgz",

这些变化中的任何一个也可能朝着相反的方向发展。

这真的很烦人,因为这意味着我们不断地在 package-lock.json 中进行无意义的更改,这会导致合并冲突并经常阻止 npm ci 正确执行。npm cache clean --force 似乎没有帮助。我知道 npm install 可以自动解决 package-lock.json 合并冲突,但这对 npm ci 没有帮助(因为重点是不要在 CI 环境中运行 npm install )。而且,无论如何,看看虚拟 npm 注册表如何在内部解析包有什么好处(我怀疑这里正在发生)?

是否有某种配置选项可以防止 JFrog Artifactory 对虚拟 npm 注册表中已解析的包 URL 进行此类更改?或者它可能是 npm 中的错误?

环境:

  • npm 6.11.3
  • JFrog Artifactory 6.10.6
4

3 回答 3

3

我不知道为什么会出现这些备用 URL 或如何让它们停止。但是您可以通过使用npm-merge-driver. 它是由一位在 npm cli 团队工作多年的开发人员编写的,其唯一目的是自动消除package-lock.json合并冲突。

于 2020-11-03T14:17:21.220 回答
0

我们的团队首先成功运行npm ci,以确保我们本地下拉和缓存的依赖项与package-lock.json文件匹配。

然后,进一步npm install的 s 应该按预期解决。

于 2021-05-26T16:08:49.553 回答
-1

这类事情通常是由开发人员安装的npm版本略有不同造成的。npm 的第 7 版刚刚发布,因此现在是确保团队都安装了完全相同的版本的最佳时机。

如果这不起作用,请尝试将团队切换到yarnpnpm

于 2020-10-18T09:56:51.143 回答