51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

一次 yarn 安装依赖失败,让我重新认识了 NPM 版本号规则

作者:五月君
开发 前端
考虑一个问题,项目第一次添加一个模块的依赖是 ^1.2.3​,过了两周另一个同事需要修这个项目,此时依赖已经更新到 1.3.0 他在重新安装后就会得到最新的版本,这会带来一个问题,每个人得到依赖版本不一致,该如何确保团队成员的依赖版本都是一致呢?

现代的前端开发、Node.js 后端开发中 NPM 包管理是最基础也是最关键的一部分,本文将从一个问题开始,阐述 NPM 版本控制的工作原理,我相信这是每一个使用了 NPM 的开发人员都应该熟悉的知识。

一个依赖安装失败示例

事情的经过是前一天测试还一切正常,第二天部署时却提示 yarn 安装依赖失败,下面是本地复现的结果,如下图所示:

图片

yarn 安装失败

一个明显的提示是 bson@5.0.0​ 这个依赖不再支持 Node.js 14.20.1​ 以下版本,但是项目的 dependencies​ 中也没有指定这个包啊,了解 MongoDB 的同学应该知道 bson​ 是 Mongo​ 实现的一个类 JSON 的二进制存储格式。

为了一探究竟,执行 yarn --ignore-engines​ 先忽略这个引擎检测,看下 yarn.lock 文件中 bson 的依赖关系。

mongoose@^5.3.0​ 是项目中的依赖,实际安装后使用的版本为 5.13.5​,之后又依赖了 @types/mongodb​,问题来了,这里竟然使用了 @types/bson: *​ 要知道在 NPM 的版本号规则里 *​ 号是不会锁定版本的,每次都会升级为最新版本,也就是最后的 bson: 5.0.0。

图片

查了下 bson​ 这个库的 CHANGELOG 发现其在 2023-01-31​ 号发布了 5.0.0,要求 Node.js 版本必须大于 14.20.1,上面报错显然当前版本不满足。

库的版本升级很正常,了解 NPM 版本号规则的同学应该知道 “bson: 5.0.0 ”  这是一个大版本,会存在不向前兼容的情况,这里的问题在于 ​@types/mongodb​ 直接使用了 ​@types/bson: *​,每次安装都会升级到最新,是有点不讲 “码德”,这里是个坑,NPM 上查了 @types/mongodb 这个包,发现已经被废弃了,如下图所示:

图片

mongoose​ 这个包的影响版本为:​mongoose 5.11 ~ 5.13.15。

这里先抛出一个问题:“为什么安装时使用的 mongoose@^5.3.0​ 安装成功后却变成了 5.13.15”?

NPM 的语义版本控制

在发布 NPM 模块新版本时,建议遵循 “语义版本控制” 考虑使用这样的版本号x.y.z 控制,如下所示:

图片

版本号规则:

  • 主版本:做了不兼容的 API 修改,不会向前兼容,一般也称为大版本,当项目依赖需要升级到大版本时需要注意。
  • 次版本:通常是做了向前兼容的新功能增加,一般也称为小版本。
  • 补丁版本:修复现有的一些错误,也是向前兼容的。

在发布 NPM 包时建议从 1.0.0 开始,例如:

  • 1.0.0:新产品首次发布。
  • 1.0.1:向前兼容的补丁版本,修改第 3 位数。
  • 1.1.0:向前兼容增加新特性,增加中间数字,将最后一位置为 0。
  • 2.0.0:不向前兼容的更新,增加第一位数字,将第二、三位数置为 0。

语义化版本号的几种表示方法:

  • ^1.1.2:^ 是 NPM 安装后的默认符号,保持高版本不升级,次版本、补丁版本升级到最新,例如:^1.1.2 等价于 1.1.2 >= ^1.1.2 < 2.0.0。
  • ~1.1.3​:波浪符 ~ 只会升级补丁版本,例如:~1.1.3 等价于 1.1.3 >= ~1.1.3 <1.2.0。
  • 1.1.3:不加任何符号表示锁定了这个版本,不会进行任何升级。
  • * 或 "":* 号或者空字符 "",不会锁定版本,每次都会升级到最新版本,前面提的问题就是这个导致的。
  • 1.0.0-alpha.1:使用 alpha、rc 等标识的表示该版本是一个预发布版本,该版本可能无法满足预期的兼容性需求,正式环境不要用。
  • 一个非语义话版本号的示例 v1.0.0:在一些版本控制的系统中通常用 v 表示版本号,例如 git tag v1.0.0,但它并不是语义化版本号。

了解了语义化版本号规则后,应该要知道上面提出的一个问题:“为什么安装时使用的 mongoose@^5.3.0​ 安装成功后却变成了 5.13.15​”,因为版本号前加 ^ 符号,它表示的是第一位保持不变、最后两位升级到最新。

依赖锁定 - 解决版本不一致问题

考虑一个问题,项目第一次添加一个模块的依赖是 ^1.2.3​,过了两周另一个同事需要修这个项目,此时依赖已经更新到 1.3.0 他在重新安装后就会得到最新的版本,这会带来一个问题,每个人得到依赖版本不一致,该如何确保团队成员的依赖版本都是一致呢?

解决依赖版本不一致的问题一种方法是 “固定依赖版本”,但在实际做法中这种很少见,大多数时候没有意识到一个问题 “安全修复”,通过版本号前加 ^ 或 ~ 符号我们可以得到补丁版本错误修复、向前兼容的小版本新功能。

解决依赖版本不一致的另一种方法是通过 lock 文件(NPM 中的 package-lock.json​ 或 yarn 中的 yarn.lock )来解决同一个项目团队成员之间依赖版本不一致的问题,在使用 npm 或 yarn 安装之前会先检查 lock 文件上的版本,并来安装它们,有必要将 lock 文件推送至 git 仓库。

如果需要将依赖项更新到指定范围的最新版本,只需要执行 npm update 命令,该命令会遵循语义化版本控制对依赖进行升级,同时也会更新 lock 文件。

责任编辑:武晓燕 来源: 编程界
NPM版本号项目
相关推荐
是时候重新认识“程序员”
网络上虽然已经有了很多关于程序员的话题,但大部分人对这个群体还是很陌生。我们在谈论程序员的时候,究竟该聊些什么呢

2019-09-02 08:53:46

程序员
Go 改版本号规则,主版本号终于支持第三位数字 0 ...
目前该提案已经完成审查和CL,可以说很明确将会进入到Go后续版本的使用中。以后主版本将会是go1.21.0起,并补充“.0”,而不再是以前的go1.21,能够规避相当一部分的版本混淆问题。

2023-08-02 08:46:02

Go版本号规则
重新认识Mesos的设计架构
Mesos中包含四类主要的服务(实际上是一个socketserver),它们分别是MesosMaster,MesosSlave,SchedulerProcess和ExecutorProcess,它们之间通过ProtocalBuffer消息进行通信,每种服务内部注册了若干种ProtocalBuffer消息处理器,一旦收到某种消息,则会调用相应的消息处理器进行处理。

2014-01-06 11:23:54

Mesos设计架构
重新认识生成器Generator
我们知道,函数体包含yield关键字的函数不是一个普通函数。这种函数叫做生成器(generator),一般用于循环处理结构,应用得当可以极大优化内存使用效率。

2021-04-22 21:15:38

Generator函数生成器
重新认识 D 编程语言 —— 基础篇
D语言曾经兴盛过,也随着信息技术发展而颓废过,但最终我们很高兴的看到它又带着强烈的自信开始复苏,希望通过本文让现代计算机科学工作者进一步了解这门具有独特魅力的编程语言。

2019-10-31 13:40:52

JavaPHP编程语言
重新认识物联网网关架构
有了物联网解决方案,我们必须处理在该领域工作的无数设备。由于这些设备的性质与Web,桌面甚至移动客户端差异很大,因此我们需要一个中间架构元素来充当现场设备和企业数据中心之间代理,即物联网网关。

2019-02-24 21:27:26

物联网网关物联网IOT
Java 8系列之重新认识HashMap
搞清楚HashMap,首先需要知道HashMap是什么,即它的存储结构字段;其次弄明白它能干什么,即它的功能实现方法。

2016-12-13 15:41:40

JavaHashMap
重新认识数据可视化
眼见为实,耳听为虚,要真正理解这句话,其实不容易,今天来谈谈最近的认知。做了很多年经分,对于数据可视化的认识不是说没有,但还是比较容易陷入一些误区,报表上个人比较追求朴实无华,对于各种展现工具并不感冒,由此延伸开来,就是对于数据可视化是带有偏见的。

2016-11-07 11:34:28

数据可视化大数据
重新认识下@Async,开启异步之路
在使用Async注解时,很多小伙伴都会发现异步使用失败。主要原因是异步方法的定义出了问题。

2022-09-08 13:58:39

Spring高并发异步
重新认识Typescript | Vue3源码系列
本篇文章作为Vue3源码系列前置篇章之一,Typescript的科普文,主要目的为了大家在面对Vue3源码时不会显得那么不知所措,下来将介绍一些Typescript的基本使用。

2020-09-17 07:08:04

TypescriptVue3前端
只需四步,重新认识Cisco路由器接口
文章通过文字和图片介绍了Cisco路由器接口的相关问题,大体上能够让大家对Cisco路由器接口有一个全新的认识,需要深入研究的朋友,这里是起点。

2009-11-26 15:07:28

Cisco路由器接口
重新认识 Java 中的内存映射(Mmap)
mmap是一种内存映射文件的方法,即将一个文件映射到进程的地址空间,实现文件磁盘地址和一段进程虚拟地址的映射。

2021-11-11 05:00:02

JavaMmap内存
咱们来重新认识下Golang的切片
我们先来看一下Golang中的数组,大家都知道Golang其实是c语言写的,那么在数组这一块Golang和c语言的含义一样么?当然是不一样的。

2023-05-03 09:09:28

Golang数组
来来来,重新认识下算法的复杂度!
事后统计法(也就是把代码运行一遍,通过统计、监控得到运行的时间和占用的内存大小)的测试结果非常依赖测试环境以及受数据规模的影响程度非常大。但是实际上更需要一个不用具体的测试数据就可以估计出算法的执行效率的方法。

2020-10-15 07:13:53

算法监控数据
重新认识公共云存储的安全性
云安全一向是阻碍公司选用公共云的原因之一:公共云可能会危及数据安全。许多安全方面的常见问题已得到了令人满意的解决。但是担忧依然存在。

2017-01-03 17:22:16

公共云安全
浅谈iOS版本号:开发者对如何更好的用版本号标示应用
一直在尽量兼容不同使用习惯的版本号形式,但是在使用中我们发现好多开发者对怎么更好的用版本号来标示应用很陌生.这是篇基础文章,简单介绍iOS的版本号.

2014-12-15 14:02:48

iOS版本号苹果
备考2010下半年-重新认识软件测试
重新回头再重新审视测试,发现我所理解的测试逐渐浮现出它自身的价值。2010软考软件评测师对测试的重新认识和感悟,帮助考生备考。

2010-10-22 11:10:24

软考
物联网之父长篇演讲,带你重新认识物联网
物联网之父从微观和宏观上分别向我们介绍了物联网的诞生、重要性、技术关系、对人类走向未来的帮助以及所能带给你的创业启示。

2019-04-15 14:32:11

重新认识你作为程序员的价值
作为一个程序员,你需要认识到,你有无价的技能需要你去驾驭。投资者们早就知道这些,他们用成捆成捆的现金让你们为他开发出将来有一天能够赚钱的东西。大公司们知道优秀开发者的价值,他们有时候会为了留下他们的顶级人才而屈膝媚颜。具有很好的编程技能,每个人都会重视你,但为什么程序员自己却不把自己的这种天赋当回事儿呢

2015-03-19 10:15:54

程序员价值程序员价值
让我们在2019年重新认识 Flutter
本文首先简要回顾移动开发(跨平台开发)的发展历史,并谈谈不同阶段跨平台解决方案的优劣;接着从WHATHOWWHY三个方面详细来聊聊Flutter,并结合简单的Dart代码说说开发者该如何上手

2019-01-18 13:32:16

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服