原文地址：https://tech.meituan.com/npm-shrinkwrap.html

在一次項(xiàng)目開發(fā)中遇到了這個(gè)情況：我從倉庫把項(xiàng)目拉到本地，結(jié)果構(gòu)建出來發(fā)現(xiàn)有問題硼端，但是在同事那里就運(yùn)行正常乾胶。無疑是因?yàn)橐蕾嚢陌姹静煌瑢?dǎo)致的褥影，在Google時(shí)發(fā)現(xiàn)了這篇文章飒筑，下邊是原文渤涌。

使用 npm shrinkwrap 來管理項(xiàng)目依賴
敬威 ·2015-10-23 17:30

管理依賴是一個(gè)復(fù)雜軟件開發(fā)過程中必定會遇到的問題佩谣。
在Node.js項(xiàng)目開發(fā)的時(shí)候，我們也經(jīng)常需要安裝和升級對應(yīng)的依賴实蓬。雖然 npm 以及語意化的版本號 (semantic versioning, semver) 讓開發(fā)過程中依賴的獲取和升級變得非常容易茸俭， 但不嚴(yán)格的版本號限制，也帶來了版本號的不確定性安皱。主要的問題可能有三個(gè)：
npm 建議使用 semver 的應(yīng)用程序版本调鬓，但這也完全依賴第三方包遵守這一規(guī)則。如果你依賴于的包不遵循 semver 酌伊，或者依賴的包的新版本有重大更改（而你使用了 ^
的寬泛版本安裝）腾窝，這潛在可能是會導(dǎo)致問題的。

另一個(gè)問題的出現(xiàn)是由于 npm 安裝依賴的機(jī)制。npm 的安裝包是有層次結(jié)構(gòu)的虹脯，手動控制要安裝的軟件包的版本號可以實(shí)現(xiàn)驴娃，但是你只能在 package.json 使用精確的版本號控制你的直接依賴包，但那些多層以上的依賴就沒辦法控制了循集；一個(gè)第三方包不嚴(yán)謹(jǐn)?shù)陌姹疽蕾嚿赡芷茐哪愕囊蕾嚬芾怼?/p>

在開發(fā)階段執(zhí)行得到的版本唇敞，和后續(xù)部署時(shí)得到的可能是不一致的，更不可控的是咒彤，你依賴的第三方包也有這樣的情況會導(dǎo)致潛在的上線風(fēng)險(xiǎn)厚棵。

如果要控制上線的風(fēng)險(xiǎn)，我們就必需要解決這個(gè)問題蔼紧，這時(shí)候婆硬，就需要使用 npm shrinkwrap
這個(gè)命令來解決問題。
介紹 shrinkwrap
npm shrinkwrap
可以按照當(dāng)前項(xiàng)目 node_modules 目錄內(nèi)的安裝包情況生成穩(wěn)定的版本號描述奸例。
比方說彬犯，有一個(gè)包 A
{ "name": "A", "version": "0.1.0", "dependencies": { "B": "<0.1.0" } }

還有一個(gè)包 B
{ "name": "B", "version": "0.0.1", "dependencies": { "C": "<0.1.0" } }

以及包 C
{ "name": "C", "version": "0.0.1" }

你的項(xiàng)目只依賴于 A，于是 npm install
會得到這樣的目錄結(jié)構(gòu)
A@0.1.0 -- B@0.0.1-- C@0.0.1

這時(shí)候查吊，B@0.0.2 發(fā)布了谐区，這時(shí)候在一個(gè)新的環(huán)境下執(zhí)行 npm install
將得到
A@0.1.0 -- B@0.0.2-- C@0.0.1

這時(shí)候兩次安裝得到的版本號就不一致了。而通過 shrinkwrap 命令逻卖，我們可以保證在所有環(huán)境下安裝得到穩(wěn)定的結(jié)果宋列。
在項(xiàng)目引入新包的時(shí)候，或者 A 的開發(fā)者執(zhí)行一下 npm shrinkwrap
评也，可以在項(xiàng)目根目錄得到一個(gè) npm-shrinkwrap.json 文件炼杖。
這個(gè)文件內(nèi)容如下
{ "name": "A", "version": "0.1.0", "dependencies": { "B": { "version": "0.0.1", "dependencies": { "C": { "version": "0.0.1" } } } } }

shrinkwrap 命令根據(jù)目前安裝在node_modules的文件情況鎖定依賴版本。在項(xiàng)目中執(zhí)行 npm install
的時(shí)候盗迟，npm 會檢查在根目錄下有沒有 npm-shrinkwrap.json 文件坤邪，如果 shrinkwrap 文件存在的話，npm 會使用它（而不是 package.json）來確定安裝的各個(gè)包的版本號信息罚缕。
這樣一來艇纺，在安裝時(shí)候確定的所有版本信息會穩(wěn)定的固化在 shrinkwrap 里。無論是A邮弹，B 和 C中的版本如何變化黔衡，或者它們的 package.json 文件如何修改，你始終能保證腌乡，在你項(xiàng)目中執(zhí)行 npm install
的到的版本號時(shí)穩(wěn)定的盟劫。
在開發(fā)中使用 shrinkwrap
在開發(fā)過程中，引入一個(gè)新包的流程如下
npm install PACKAGE_NAME@VERSION --save
獲取特定版本的包
測試功能
測試功能正常后导饲，執(zhí)行 npm shrinkwrap
把依賴寫入 shrinkwrap 文件
在代碼倉庫中提交 shrinkwrap / package.json 描述

升級一個(gè)包的流程應(yīng)該是這樣
npm outdated
獲取項(xiàng)目所有依賴的更新信息
npm install PACKAGE_NAME@VERSION --save
獲取特定版本的包
測試功能
測試功能正常后捞高，執(zhí)行 npm shrinkwrap
把依賴寫入 shrinkwrap 文件
在代碼倉庫中提交 shrinkwrap / package.json 描述

刪除一個(gè)包的流程如下
npm uninstall PACKAGE_NAME --save
刪除這個(gè)包
測試功能
測試功能正常后，執(zhí)行 npm shrinkwrap
把更新的依賴寫入 shrinkwrap 文件
在代碼倉庫中提交 shrinkwrap / package.json 描述

比一般的安裝多了一步手工生成 shrinkwrap 文件渣锦。在實(shí)際工作中硝岗，有時(shí)候我們會忘記這一步，導(dǎo)致上線時(shí)候沒有獲取到依賴包的特定版本袋毙。
介紹 npm-shrinkwrap-install
去年我引入 shrinkwrap 工作流的時(shí)候型檀，npm 官方的 shrinkwrap 命令還有很多問題，比如
在生成版本描述的時(shí)候不會忽略 devDependencies 和 optionalDependencies
不會檢查 package.json 和 shrinkwrap 文件的差異
不會刪除 from 字段（這個(gè)字段沒有用）听盖，導(dǎo)致在 diff 時(shí)候會出現(xiàn)多余的信息

所以我寫了一個(gè) bin/shrinkwrap 腳本胀溺。這個(gè)腳本會自動對比 package.json 和 npm-shrinkwrap.json 文件的區(qū)別，獲取需要更新的版本皆看，然后對相關(guān)信息進(jìn)行更新仓坞。(更新：現(xiàn)在的 npm shrinkwrap 已經(jīng)修復(fù)了很多的問題，但 from 字段有時(shí)候仍然有些小問題腰吟。）
當(dāng)時(shí)為了忽略 devDependencies 和 optionalDependencies无埃，我會執(zhí)行 npm prune
刪除額外的包之后才生成版本描述，然后再把其它的包裝回來毛雇，導(dǎo)致腳本執(zhí)行時(shí)間有點(diǎn)長嫉称。
后面 uber 發(fā)布了 npm-shrinkwrap 工具，可以更高效的生成版本描述灵疮≈模可惜這個(gè)包不支持 scoped package。我花了一點(diǎn)時(shí)間 patch 了這個(gè)工具震捣，因?yàn)樗鼈兊陌l(fā)版太慢荔棉，所以我發(fā)布了一份 @th507/npm-shrinkwrap，可以支持 scoped package蒿赢。
在上面這個(gè)包的基礎(chǔ)上江耀，我還寫了另外一個(gè)小工具，叫做 npm-shrinkwrap-install诉植，它可以無縫替換 npm install
的執(zhí)行過程祥国，讓 shrinkwrap 文件的生成變得更自動。
安裝
$ npm install npm-shrinkwrap-install

安裝完成之后晾腔，有如下命令可以使用
安裝依賴的命令npm-installnpm-i
刪除依賴的命令npm-unisntallnpm-unnpm-removenpm-rmnpm-r
手工生成 shrinkwrap 描述npm-shrinkwrap
在開發(fā)中使用 npm-install
引入新依賴包
npm-install PACKAGE_NAME@VERSION --save
獲取特定版本的包
測試功能
在代碼倉庫中提交 shrinkwrap / package.json 描述

npm-install 在運(yùn)行時(shí)會對 package.json 中的依賴做校驗(yàn)舌稀，如果你直接修改 package.json 文件，或者是指定了一個(gè)非嚴(yán)格的版本號灼擂，在運(yùn)行的時(shí)候都會做更新檢查壁查，防止遺漏。
值得注意的是剔应，因?yàn)?npm-install 會進(jìn)行依賴對比和校驗(yàn)睡腿，在安裝新包的時(shí)候需要帶上 --save 參數(shù)语御。否則，在自動更新 shrinkwrap 描述之前席怪，腳本會自動移除多余的依賴包应闯，導(dǎo)致你新安裝的包被刪除。
升級依賴包
npm outdated
獲取項(xiàng)目所有依賴的更新信息
npm-install PACKAGE_NAME@VERSION --save
獲取特定版本的包
測試功能
在代碼倉庫中提交 shrinkwrap / package.json 描述

package.json 文件中指定了一個(gè)非嚴(yán)格的版本號的依賴在運(yùn)行 npm-install 的時(shí)候會做自動更新檢查挂捻，無需指定版本號碉纺，如果你不希望進(jìn)行自動更新，請?jiān)?package.json 中使用嚴(yán)格版本號刻撒。
刪除依賴包
npm-uninstall PACKAGE_NAME --save
刪除這個(gè)包
測試功能
在代碼倉庫中提交 shrinkwrap / package.json 描述

可以看到骨田，在實(shí)際使用中沒有引入額外的流程，對開發(fā)者基本沒有學(xué)習(xí)的負(fù)擔(dān)声怔。但仍然注意态贤，不建議開發(fā)者執(zhí)行 npm update
命令更新所有的依賴。
小結(jié)
通過引入 shrinkwrap 文件醋火，我們可以較好的管理項(xiàng)目的依賴關(guān)系抵卫，讓上線變得更輕松。需要注意的是胎撇，盡管相關(guān)工具可以幫助你減化工作流程介粘、可靠的分發(fā)依賴描述，但工具不能取代功能測試晚树；每次升級依賴版本之后姻采，我們?nèi)匀粦?yīng)該進(jìn)行相關(guān)測試來確保項(xiàng)目能可靠的運(yùn)行在該環(huán)境中。
如果使用 @th507/npm-shrinkwrap 或者 npm-shrinkwrap-install 有任何問題歡迎給我提 issue爵憎。
本文沒有涉及如何優(yōu)化上線前的安裝過程慨亲，縮短依賴構(gòu)建時(shí)間，這個(gè)問題留給專門的文介紹宝鼓。