npm shrinkwrap

什么是 npm shrinkwrap?

npm shrinkwrap 是 npm 包管理器的一项功能。可以按照当前项目 node_modules 目录内的安装包情况生成稳定的版本号描述。shrinkwrap 文件的结构类似以下这种形式:

  1. {
  2. "name": "A",
  3. "version": "1.1.0",
  4. "dependencies": {
  5. "B": {
  6. "version": "1.0.1",
  7. "from": "B@^1.0.0",
  8. "resolved": "https://registry.npmjs.org/B/-/B-1.0.1.tgz",
  9. "dependencies": {
  10. "C": {
  11. "version": "1.0.1",
  12. "from": "org/C#v1.0.1",
  13. "resolved": "git://github.com/org/C.git#v1.0.1"
  14. }
  15. }
  16. }
  17. }
  18. }

重要的字段一个是 version(模块的版本),以及 resolved(模块的安装路径)。在工程中有 shrinkwrap 描述文件的情况下会遵循该 version 和 resolved 信息去安装。

为什么需要它?

在没有 shrinkwrap 的项目中,任意一个依赖包都可能在开发者不知情的情况下发生改动,进而引发线上故障。

在一个 JavaScript 项目中,每次执行 npm install,最后生成的结果可能是不一样的。 譬如说现在某个项目依赖了模块 A, 虽然我们可以为它指定一个固定的版本号,然而 A 所依赖的其它模块版本使用的是 npm semver 规则(semantic version,npm 模块依赖默认遵循的规则)。它并不严格规定版本,而是选择符合当前 semver 规则的最新版本进行安装。

一个简单的例子:假如模块 A 中依赖了 B,并且在 A 的 package.json 中指定 B 的 semver 为 ~1.2.3,那么所有形式为 1.2.x 的版本都是符合规则的。当模块 B 更新了一个 1.2.x 的小版本后,项目在下次构建中就会获取到它。

semver 这样设计的初衷是使模块的开发者可以将 bugfix 等微小的改动能更便捷地到达使用方。但它的负面影响却是使每次 npm install 构建过程之间,项目内的模块内容随时可能发生改变。我们没法确定在每个模块内部,每一次小版本更新时究竟是加入了 bugfix,还是改变了 API,亦或是注入了恶意代码。

为了保证线上构建的稳定性,我们决定强制在每个 JavaScript 项目中添加 shrinkwrap。

对于我的项目,我需要做什么?

  • 如果项目中没有 shrinkwrap,请执行 npm shrinkwrap 命令来生成一个。第一次生成时经常会遇到错误,请看下面的 trouble-shooting 部分。
  • 尽量保持 npm 的版本是 4 或以上,这样当你在安装和更新模块时 npm 会帮你自动更新 npm-shrinkwrap.json。
    就是以上这些,项目中有了 npm-shrinkwrap.json 以后,每次执行 npm 模块安装的时候就会首先遵循 npm-shrinkwrap.json 的版本来安装

添加了之后发布速度很慢?

大多数时候是由于 shrinkwrap 中含有官方源的包。请检查你的 npm-shrinkwrap.json,里面如果含有 https://registry.npmjs.org,代表你的相关模块将会从官方源装(速度极慢),请将它们批量替换为 https://repo.corp.qunar.com/artifactory/api/npm/npm-qunar,使其改为从内网源安装。

trouble-shooting

大多数错误有一个公用的解决方案——升级到 npm5,如果你执意不升级的话请往下看。

生成 npm-shrinkwrap.json 过程的中报错,大多是因为 package.json 和 node_modules 中对于模块的描述不一致(其实是不应该出现的),按照提示的信息改正即可。下面列两个最常见的错误。

extraneous: package@version

代表这个 包在 node_modules 中有,而工程中的 package.json 中没有。

shrinkwrap 报错

解决方法:如果你需要这个包,请添加到 package.json 中。如果你不需要它,从 node_modules 中删除即可。

invalid: package@version

代表这个 包在 node_modules 中和 package.json 中的版本不一致。

shrinkwrap 报错

解决方法:安装一个你需要的版本保证两边的统一。

另外 ykit 在 qunar 插件中也提供了 shrinkwrap 功能,比 npm 本身的规则更宽容,当然最好的办法还是升级 npm5。

再多说一点 npm 5 和 yarn

npm5 本身有一个锁定版本号的文件 package-lock.json,但是目前发布平台还不支持。如果项目中有 npm-shrinkwrap.json,npm5 只会更新它,而不会生成 package-lock.json,所以不用担心。

yarn 的锁定版本文件叫 yarn.lock,目前发布平台是支持的,不过最好保证项目中只有一个版本锁定文件,npm-shrinkwrap.json 或者 yarn.lock 二选一,防止出现安装结果和预想不一致的情况。

如果还有问题请 qtalk 联系 siven.jin