Что такое установка по package-lock.json

Question

Что такое установка по package-lock.json

Тип вопроса: Библиотеки Вероятность: 10% Категория: Frontend Разработчик

Ответ

package-lock.json — это файл, автоматически генерируемый npm при установке зависимостей. Он фиксирует точные версии пакетов и их зависимостей, обеспечивая воспроизводимость сборки.

Ключевые моменты:

Записывает дерево зависимостей с точными версиями (включая вложенные)
Игнорируется в .npmrc при package-lock=false
Обновляется при изменении package.json или ручном вызове npm install

Пример команды:

npm ci # Чистая установка из lock-файла (быстрее и строже, чем npm install)

Отличие от npm install:

npm install может обновить версии в package-lock.json, если диапазоны в package.json разрешают это
npm ci строго следует lock-файлу и удаляет node_modules перед установкой

Ответ 18+ 🔞

А, package-lock.json! Ну это ж классика, блядь, ёпта! Представь себе, ты как начальник стройки, а package.json — это твоя смета, где написано «нужны доски, примерно вот такие». А package-lock.json — это, сука, полный техотчёт, где указано, что каждая доска — от конкретного мудака-поставщика Иванова, с серийным номером, и даже гвозди в ней — вот такие-то, от Петрова. Без этого отчёта следующий прораб начнёт ставить какие попало доски, и дом, блядь, развалится.

Короче, суть:

Это файл-свидетель, который npm сам себе пишет, когда ставит пакеты. Он фиксирует ВСЁ: какие именно версии пакетов и их зависимостей (а у тех — свои зависимости, и так дохуя) были установлены в этот конкретный момент. Чтобы потом, хоть через год, любой другой комп или ты сам мог собрать проект один-в-один, как вчера. Воспроизводимость, блядь, наше всё!
Его можно, в принципе, заставить игнорировать через настройки (.npmrc), но это как отключить регистратор в самолёте — делать так могут только ебнутые.
Он обновляется автоматом, когда ты меняешь package.json или просто запускаешь npm install для нового пакета.

Вот, смотри команду-то:

npm ci  # Чистая установка из lock-файла

Вот это, блядь, мощь! npm ci — это не просто «установи». Это приказ: «Слушай сюда, npm, открой lock-файл, выбрось нахуй старую папку node_modules к чертям собачьим, и собери всё ТОЧНО так, как тут записано, ни шага в сторону!». Быстро и жёстко, как удар кирпичом.

А чем он лучше обычного npm install?

Да всем, ебать мои старые костыли!

npm install — он такой: «О, в package.json написано «доски ~2.1.0», а в lock-файле записана версия 2.1.5. Хмм, а есть же новая 2.1.9! Ну я, пожалуй, обновлю lock-файл, поставлю новенькое». И всё, поехали — версии поползли, а ты потом охуеешь, почему всё сломалось.
npm ci — он такой: «Я вижу lock-файл. Я вижу, что в нём записана версия 2.1.5. Я поставлю 2.1.5. Если не могу — пойду нахуй с ошибкой. Всё. Никаких самодеятельностей». Надёжность, блядь, а не команда.

В общем, package-lock.json — это не мусор, его в гитихаб пихать надо обязательно, а npm ci — твой верный пёс, который не даст проекту превратиться в зыбучий песок из «ой, а у меня на компе работает».