typescript 如果我修复所有依赖项的版本,是否需要有一个锁文件?

jslywgbw  于 2023-03-31  发布在  TypeScript
关注(0)|答案(2)|浏览(106)

我有一个NodeJs/Typescript项目,我修复了所有像这样的deps版本

{
  "dependencies": {
    "eslint": "8.30.0",
    "prettier": "2.8.1",
    "turbo": "1.6.3",
    "typescript": "4.9.4"
  }
}

我还需要yarn.lock或package-lock.json吗?我假设每次运行安装程序时,它都会安装相同版本的deps。
谢谢

vlf7wbxs

vlf7wbxs1#

是的,因为这些包可能以更宽松的方式指定了 * 它们的 * 依赖项;例如,eslint 8.30.0的package.json指定了所有与^的运行时依赖关系。
锁定文件确保顶级依赖项 * 和 * 传递依赖项锁定到特定版本。

gzszwxb4

gzszwxb42#

是的,你最好用它。
它避免了不必要的可传递依赖更新。这很重要,因为它们可能会中毒,尽管很少。
例如,我们的安全性将es5-ext标记为抗议软件,因此我们必须在应用程序中强制限制其版本

相关问题