纱线形成纱线。执行yarn安装后锁定文件。
这应该提交到存储库还是忽略?这是干什么用的?
纱线形成纱线。执行yarn安装后锁定文件。
这应该提交到存储库还是忽略?这是干什么用的?
当前回答
我看这是两个独立的问题。我来回答两个问题。
你应该把文件提交到回购吗?
是的。正如ckuijjer的回答中提到的,在迁移指南中建议将该文件包含到repo中。往下读,你就会明白为什么你需要这么做。
什么是yarn.lock?
它是一个存储项目的确切依赖项版本以及每个包的校验和的文件。这是yarn为依赖项提供一致性的方法。
要理解为什么需要这个文件,你首先需要理解原始NPM的package.json背后的问题。当你安装这个包时,NPM将存储一个依赖的允许修订范围,而不是一个特定的修订(semver)。NPM将尝试在指定范围内获取更新依赖项的最新版本(即非破坏性补丁更新)。这种方法有两个问题。
依赖项作者可能会发布补丁版本更新,而实际上引入了一个会影响您的项目的破坏性更改。 两个在不同时间运行npm install的开发人员可能会得到不同的依赖集。这可能会导致一个bug在两个完全相同的环境中无法重现。例如,这可能会导致CI服务器的构建稳定性问题。
另一方面,纱线采用了最大可预测性的路线。它能产生纱线。锁定文件以保存确切的依赖项版本。该文件到位后,yarn将使用存储在yarn中的版本。锁定,而不是从package.json解析版本。这个策略保证上面描述的问题不会发生。
纱线。锁类似于npm-shrinkwrap。可以通过NPM shrinkwrap命令创建的Json。检查解释这两个文件之间差异的答案。
其他回答
我看这是两个独立的问题。我来回答两个问题。
你应该把文件提交到回购吗?
是的。正如ckuijjer的回答中提到的,在迁移指南中建议将该文件包含到repo中。往下读,你就会明白为什么你需要这么做。
什么是yarn.lock?
它是一个存储项目的确切依赖项版本以及每个包的校验和的文件。这是yarn为依赖项提供一致性的方法。
要理解为什么需要这个文件,你首先需要理解原始NPM的package.json背后的问题。当你安装这个包时,NPM将存储一个依赖的允许修订范围,而不是一个特定的修订(semver)。NPM将尝试在指定范围内获取更新依赖项的最新版本(即非破坏性补丁更新)。这种方法有两个问题。
依赖项作者可能会发布补丁版本更新,而实际上引入了一个会影响您的项目的破坏性更改。 两个在不同时间运行npm install的开发人员可能会得到不同的依赖集。这可能会导致一个bug在两个完全相同的环境中无法重现。例如,这可能会导致CI服务器的构建稳定性问题。
另一方面,纱线采用了最大可预测性的路线。它能产生纱线。锁定文件以保存确切的依赖项版本。该文件到位后,yarn将使用存储在yarn中的版本。锁定,而不是从package.json解析版本。这个策略保证上面描述的问题不会发生。
纱线。锁类似于npm-shrinkwrap。可以通过NPM shrinkwrap命令创建的Json。检查解释这两个文件之间差异的答案。
是的,你应该签入它,参见从npm迁移
这是干什么用的? npm客户端非确定性地将依赖项安装到node_modules目录中。这意味着根据所安装依赖项的顺序,node_modules目录的结构可能因人而异。这些差异可能会导致我的机器上的bug,需要很长时间才能找到。
Yarn通过使用锁文件和确定可靠的安装算法解决了这些关于版本控制和不确定性的问题。这些锁文件将已安装的依赖项锁定到特定版本,并确保所有机器上的node_modules中的每次安装都产生完全相同的文件结构。
是的,你应该承诺。了解更多关于纱线的知识。锁定文件,参考这里的官方文档
不是要唱反调,但是我已经慢慢地(在过去的几年里)意识到你不应该提交锁文件。
我知道他们所有的文件都说你应该这么做。但这又能有什么用呢!在我看来,弊远大于利。
基本上,我花了无数小时调试问题,最终通过删除锁文件解决了这些问题。例如,锁文件可以包含有关使用哪个包注册中心的信息,而在不同用户访问不同注册中心的企业环境中,这将导致灾难。
Additionally, the lock files can really mess up your dependency tree. Because yarn and npm create a complex tree and keep external modules of different versions in different places (e.g. in the node_modules folder within a module in the top node_modules folder of your app), if you update dependencies frequently, it can create a real mess. Again, I have spent tons of time trying to figure out what an old version of a module was still being used in a dependency wherein the module version had been updated, only to find that deleting the lock file and the node_modules folder solved all the hard-to-diagnose problems.
我现在甚至有shell别名,在运行yarn或npm之前删除锁文件(有时也删除node_modules文件夹!)
只是硬币的另一面,我猜,但盲目地遵循这个教条会让你付出代价........
你应该:
将其添加到存储库并提交 在本地和CI构建服务器上使用yarn install——frozen-lockfile和NOT yarn install作为默认值。
(我在yarn的问题跟踪器上打开了一个ticket,以使freeze -lockfile默认行为,参见#4147)。
注意不要在.yarnrc文件中设置freeze -lockfile标志,因为这会阻止你同步这个包。Json和yarn。锁文件。参见github上的相关纱线问题
纱线安装可能会使你的纱线发生变异。出乎意料地锁定,使可重复构建的纱线声明无效。你应该只使用yarn install来初始化yarn。锁定并更新它。
此外,特别是在较大的团队中,您可能会因为开发人员正在设置他们的本地项目而对yarn锁的更改产生很多噪音。
要了解更多信息,请阅读我对npm的package-lock的回答。Json在这里也适用。
最近在yarn安装的文档中也明确了这一点:
yarn install Install all the dependencies listed within package.json in the local node_modules folder. The yarn.lock file is utilized as follows: If yarn.lock is present and is enough to satisfy all the dependencies listed in package.json, the exact versions recorded in yarn.lock are installed, and yarn.lock will be unchanged. Yarn will not check for newer versions. If yarn.lock is absent, or is not enough to satisfy all the dependencies listed in package.json (for example, if you manually add a dependency to package.json), Yarn looks for the newest versions available that satisfy the constraints in package.json. The results are written to yarn.lock. If you want to ensure yarn.lock is not updated, use --frozen-lockfile.