更新3:正如其他答案所指出的，npm ci命令在npm 5.7.0中被引入，作为在ci环境中实现快速和可复制构建的额外方式。更多信息请参阅文档和npm博客。

更新2:更新和澄清文档的问题是GitHub issue #18103。

更新1:下面描述的行为在npm 5.4.2中得到了修复:当前预期的行为在GitHub issue #17979中概述。

原答案(5.4.2之前):包锁的行为。Json在NPM 5.1.0中被改变了，在第16866期讨论过。你观察到的这种行为显然是npm 5.1.0版本的意图。

就是那个包裹。Json可以覆盖包锁。每当在package.json中发现一个依赖项的新版本时，就调用Json。如果你想有效地固定依赖项，你现在必须指定不带前缀的版本，例如，你需要把它们写成1.2.0而不是~1.2.0或^1.2.0。然后组合包装。Json和包锁。Json将产生可复制的构建。需要明确的是:package-lock。Json单独不再锁定根级依赖!

无论这个设计决定是好是坏是有争议的，在GitHub上的17979号问题中，有一个正在进行的讨论。(在我看来，这是一个值得怀疑的决定;至少这个名字锁不再适用了。)

另一个边注:对于不支持不可变包的注册表也有限制，例如当你直接从GitHub而不是npmjs.org提取包时。有关进一步的解释，请参阅包锁的文档。

更新3:正如其他答案所指出的，npm ci命令在npm 5.7.0中被引入，作为在ci环境中实现快速和可复制构建的额外方式。更多信息请参阅文档和npm博客。

更新2:更新和澄清文档的问题是GitHub issue #18103。

更新1:下面描述的行为在npm 5.4.2中得到了修复:当前预期的行为在GitHub issue #17979中概述。

原答案(5.4.2之前):包锁的行为。Json在NPM 5.1.0中被改变了，在第16866期讨论过。你观察到的这种行为显然是npm 5.1.0版本的意图。

就是那个包裹。Json可以覆盖包锁。每当在package.json中发现一个依赖项的新版本时，就调用Json。如果你想有效地固定依赖项，你现在必须指定不带前缀的版本，例如，你需要把它们写成1.2.0而不是~1.2.0或^1.2.0。然后组合包装。Json和包锁。Json将产生可复制的构建。需要明确的是:package-lock。Json单独不再锁定根级依赖!

无论这个设计决定是好是坏是有争议的，在GitHub上的17979号问题中，有一个正在进行的讨论。(在我看来，这是一个值得怀疑的决定;至少这个名字锁不再适用了。)

另一个边注:对于不支持不可变包的注册表也有限制，例如当你直接从GitHub而不是npmjs.org提取包时。有关进一步的解释，请参阅包锁的文档。

使用npm ci命令代替npm install。

ci代表clean install。

它将基于包锁安装项目依赖项。Json文件，而不是宽大的包。Json文件依赖关系。

它将生成与团队成员相同的构建，并且速度更快。

你可以在这篇博客文章中阅读更多信息: https://blog.npmjs.org/post/171556855892/introducing-npm-ci-for-faster-more-reliable

我发现在npm 5.7.1的新版本中加入了新的命令npm ci，它将从package-lock安装。json只

The new npm ci command installs from your lock-file ONLY. If your package.json and your lock-file are out of sync then it will report an error. It works by throwing away your node_modules and recreating it from scratch. Beyond guaranteeing you that you'll only get what is in your lock-file it's also much faster (2x-10x!) than npm install when you don't start with a node_modules. As you may take from the name, we expect it to be a big boon to continuous integration environments. We also expect that folks who do production deploys from git tags will see major gains.

使用新引进的

npm ci

NPM ci承诺为大型团队带来最大的好处。让开发人员能够在包锁上“签名”，从而促进大型团队之间更有效的协作，并且能够准确地安装锁文件中的内容，每个月可以为开发人员节省数十个小时(如果不是数百个小时的话)，将团队解放出来，花更多时间构建和发布令人惊叹的东西。

引入npm ci以实现更快、更可靠的构建

Npm install检测对包的任何更改。Json文件，以反映相应的依赖列表。

例:如果用户添加或删除了一个新的依赖项，构建将下载或删除本地计算机中的依赖项。我们可以将其与java中的.m2存储库进行比较，其中maven会不断跟踪pom.xml文件以更新依赖项。

package-lock。Json是package的副本。Json在运行时被内部进程使用，唯一的区别是包锁。Json对用户来说是只读的。