将来，您将能够使用——from-lock-file(或类似的)标志仅从包锁安装。Json而不修改它。

这对于CI等环境非常有用，因为这些环境中可复制的构建非常重要。

有关该特性的跟踪，请参见https://github.com/npm/npm/issues/18286。

这个问题在npm v5.4.2中被修复了

https://github.com/npm/npm/issues/17979

(向下滚动到线程中的最后一条评论)

更新

在5.6.0中修正。在5.4.2中有一个跨平台的错误，导致这个问题仍然发生。

https://github.com/npm/npm/issues/18712

更新2

请看我的回答: https://stackoverflow.com/a/53680257/1611058

NPM ci是你现在安装现有项目时应该使用的命令。

将来，您将能够使用——from-lock-file(或类似的)标志仅从包锁安装。Json而不修改它。

这对于CI等环境非常有用，因为这些环境中可复制的构建非常重要。

有关该特性的跟踪，请参见https://github.com/npm/npm/issues/18286。

Npm install检测对包的任何更改。Json文件，以反映相应的依赖列表。

例:如果用户添加或删除了一个新的依赖项，构建将下载或删除本地计算机中的依赖项。我们可以将其与java中的.m2存储库进行比较，其中maven会不断跟踪pom.xml文件以更新依赖项。

package-lock。Json是package的副本。Json在运行时被内部进程使用，唯一的区别是包锁。Json对用户来说是只读的。

也许你应该用这样的东西

npm ci

而不是使用npm install 如果您不想更改包的版本。

根据官方文档，npm install和npm ci都安装了项目所需的依赖项。

主要的区别是，npm install确实使用package来安装包。Json作为引用。在npm ci的情况下，它确实使用package-lock来安装包。Json作为参考，确保每次安装的包都是正确的。

使用npm ci命令代替npm install。

ci代表clean install。

它将基于包锁安装项目依赖项。Json文件，而不是宽大的包。Json文件依赖关系。

它将生成与团队成员相同的构建，并且速度更快。

你可以在这篇博客文章中阅读更多信息: https://blog.npmjs.org/post/171556855892/introducing-npm-ci-for-faster-more-reliable