了解版本控制在 NPM packagejson 中的工作原理

了解 npm 版本控制：综合指南

管理依赖项是任何现代开发工作流程的重要组成部分，尤其是在基于 javascript 的项目中。 npm（节点包管理器）简化了这个过程，但了解其版本控制系统是维护应用程序稳定和安全的关键。

在本博客中，我们将深入研究 npm 版本控制，解释其语法、最佳实践和实际应用程序。最后，您将能够自信地管理项目中的依赖项。

什么是 npm 版本控制？

npm 版本控制基于 语义版本控制 (semver)，这是一个旨在传达有关包中底层更改的含义的系统。

语义版本格式

npm 中的版本号遵循以下格式：

主要.次要.补丁

• 主要：引入重大更改。
• 次要：添加新功能而不破坏现有功能。
• patch：修复错误或进行向后兼容更新。

例子

1.4.2

• 1：主要版本（此处介绍的重大更改）。
• 4：次要版本（此处添加的功能）。
• 2：补丁版本（错误修复）。

版本控制的重要性

正确的版本管理有助于：

1. 通过避免不兼容的更新来确保稳定性。
2. 促进团队和开源社区内的协作。
3. 通过应用补丁来保护项目免受漏洞影响。

版本范围在 npm 中如何工作

在 package.json 中定义依赖项时，版本范围决定了您的项目可以接受的包版本。

通用版本范围语法

1. 确切版本

   • 语法：“1.4.2”
   • 仅安装指定版本。

2. 脱字符 (^)

   • 语法：“^1.4.2”
   • 允许在同一主要版本内进行更新（例如，1.4.2 到 1.9.0，但不允许更新 2.0.0）。

3. 波形符 (~)

   • 语法：“~1.4.2”
   • 允许在同一次要版本内进行更新（例如，1.4.2 到 1.4.9，但不允许更新 1.5.0）。

4. 通配符 (*)

   • 语法：“*”
   • 接受任何版本，这是有风险的，通常不鼓励。

5. 范围运算符

   • 示例：“>=1.2.0
   • 指定可接受的版本范围。

实际例子

在 package.json 中设置依赖关系

以下是如何在项目中使用不同版本控制策略的方法：

{
  "dependencies": {
    "express": "^4.17.1", // allows updates up to <5.0.0
    "lodash": "~4.17.21", // allows updates up to <4.18.0
    "axios": "0.21.1" // installs exactly this version
  }
}

结果：

• 快递包将更新到4.x.x范围内的任何兼容版本。

• lodash 将在 4.17.x 范围内更新。

• axios 将保持锁定版本 0.21.1。

使用 npm install 命令

npm install 命令允许您直接控制版本控制行为。

安装特定版本

npm install lodash@4.17.20

结果：安装 lodash 4.17.20 版本。

安装最新的兼容版本

npm install lodash@^4.17.0

结果：安装 4.x.x 范围内的最新版本。

了解 package-lock.json

package-lock.json 文件通过锁定安装的确切版本来确保跨环境的依赖版本一致。

为什么它很重要？

• 防止意外的版本不匹配。

• 提供依赖关系树的快照。

• 通过将依赖项锁定到已知安全版本来提高安全性。

npm 版本控制的最佳实践

1. 默认使用插入符 (^)

   • 在主要版本中保持灵活性的同时保持稳定性。

2. 避免通配符 (*)

   • 通配符可能会导致项目发生重大变化。

3. 定期更新

   • 使用 npm outdated 等工具来识别过时的依赖项。

4. 利用版本控制工具

   • npm-check-updates：自动将依赖项升级到最新版本。

   npm install -g npm-check-updates
   ncu -u
   npm install
   

   登录后复制

5. 更新后测试

   • 更新依赖项后始终彻底测试您的应用程序。

管理对等依赖性

当一个包依赖于您的项目还必须包含的另一个包的特定版本时，将使用对等依赖关系。

例子

{
  "peerdependencies": {
    "react": "^17.0.0"
  }
}

行为：

npm 不会自动安装对等依赖项；您必须手动将它们添加到您的项目中。

处理安全更新

过时的依赖项可能会引入漏洞。使用以下步骤来确保安全：

1. 检查漏洞
   

   npm audit
   

   登录后复制

2. 自动修复问题
   

   npm audit fix
   

   登录后复制

3. 监控依赖状况

   • 像snyk这样的工具可以提供对依赖漏洞的更深入的洞察。

要避免的常见陷阱

1. 忽略补丁更新

   • 即使是小补丁也可以修复严重的错误或漏洞。

2. 使用最新版本

   • 这可能会导致生产中的兼容性问题。

3. 不检查依赖项更新

   • 自动更新有时会破坏功能。始终查看发行说明。

结论

npm 版本控制由语义版本控制提供支持，是管理 javascript 项目中依赖项的一项基本技能。通过了解版本范围、最佳实践和工具，您可以创建更稳定、安全和可维护的应用程序。

要点

• 在主要版本中使用 ^ 以获得灵活性。
• 定期审核和更新依赖项。
• 利用 npm audit 和 npm-check-updates 等工具来简化版本管理。

通过这些实践，您将最大限度地降低风险、改善协作并保持项目顺利运行。

进一步阅读

• npm 官方文档
• 语义版本控制规范
• npm-check-updates github

立即开始掌握 npm 版本控制并转变管理项目中依赖项的方式！

以上就是了解版本控制在 NPM packagejson 中的工作原理的详细内容，更多请关注php中文网其它相关文章！