我有一个NodeJs/Typescript项目,我修复了所有像这样的deps版本
{
"dependencies": {
"eslint": "8.30.0",
"prettier": "2.8.1",
"turbo": "1.6.3",
"typescript": "4.9.4"
}
}
我还需要yarn.lock或package-lock.json吗?我假设每次运行安装程序时,它都会安装相同版本的deps。
谢谢
我有一个NodeJs/Typescript项目,我修复了所有像这样的deps版本
{
"dependencies": {
"eslint": "8.30.0",
"prettier": "2.8.1",
"turbo": "1.6.3",
"typescript": "4.9.4"
}
}
我还需要yarn.lock或package-lock.json吗?我假设每次运行安装程序时,它都会安装相同版本的deps。
谢谢
2条答案
按热度按时间vlf7wbxs1#
是的,因为这些包可能以更宽松的方式指定了 * 它们的 * 依赖项;例如,eslint 8.30.0的
package.json
指定了所有与^
的运行时依赖关系。锁定文件确保顶级依赖项 * 和 * 传递依赖项锁定到特定版本。
gzszwxb42#
是的,你最好用它。
它避免了不必要的可传递依赖更新。这很重要,因为它们可能会中毒,尽管很少。
例如,我们的安全性将
es5-ext
标记为抗议软件,因此我们必须在应用程序中强制限制其版本