问题标签 [package-lock.json]

我有一些关于package-lock.json. 我们正在使用npm 5.6和节点8.9.2。

我们有一些具有依赖关系的项目。开发人员可以按照建议安装 deps 并推送 package-lock.json：

他们从https://registry.npmjs.org/获取他们的依赖项。现在我们有一些 jenkins 从一些作为https://registry.npmjs.org的“代理”的工件获取依赖项。

由于以下错误，75% 的构建失败：

即使我之前使用sudo npm clean cache --force（或删除.npm）清理缓存

错误总是发生在不同的地方。现在，当我在开始构建之前删除package-lock.json它时，它每次都运行良好。

生成一个新的 package-lock.json。它不包含注册表 url，但包含人工 url ( https://artifactory/xxx)。我想这可能与它有关。所以我用詹金斯的那个替换了package-lock.jsongit中的电流。我再次尝试了同样的错误和问题，只删除 package-lock.json 似乎可以解决它，但是当我阅读时，不建议忽略这个文件。

可能是什么问题？

Github 在我的一个存储库中给了我这个错误。

package.json我们的文件中没有定义依赖项。package-lock.json据我了解，删除文件并重新生成它不是一个好习惯。但是，我看不到任何其他方法可以解决此问题。如果我忽略这个安全漏洞，它会在几天后再次出现。有任何想法吗？谢谢！

我已travis-ci与我的 GitHub 帐户（https://github.com/pradeep0601/Angular5-Router-App）集成。

当我将@angular/cli版本从 1.7.4 更新到 6.0.0-rc.3 时，构建开始失败并出现错误：

package.json 片段以更好地了解运行环境：

我明白了package-lock.json代表什么，但我不明白添加此文件后插入符号范围如何工作？

假设我有一个包 ( my-module)，我想拥有所有新的非破坏版本而不手动指定新版本。我安装了最新版本，这是package.json文件中的结果：

"my-module": "^4.1.1"

但是package-lock.json，也通过修复 to 的版本进行了my-module更新4.1.1。

下次出新版本时my-module: 4.1.2。运行npm i不会安装，因为里面的版本是package-lock.json固定的旧版本。

问题

我怎样才能在不创建新文件的情况下npm i下载最新的非破坏版本？该文件是否只是使用插入符号范围无效？my-modulepackage-lock.json

我下载了一个主题，它有一个 package-lock.json 文件，但没有 package.json 文件。有没有办法可以从 package-lock.json 文件生成 package.json。如何仅使用 package-lock.json 文件安装节点模块。有没有办法做到这一点？

今天 github 在我的 github 存储库中显示以下错误：

我们在您的一个依赖项中发现了潜在的安全漏洞。./package-lock.json 中定义的依赖项具有已知的安全漏洞，应该更新。

单击查看易受攻击的依赖项按钮时，显示以下消息：

5.0.3 之前的 hoek 节点模块遭受通过“合并”修改假定不可变数据 (MAID) 漏洞

直到昨天它还没有显示这样的错误。我已经超过 5 天没有对此存储库进行任何推送。知道为什么会这样。

最近，npm 发布了npm audit命令。当您npm i让您知道任何漏洞时，它会自动运行。我有一个简单的依赖树，如下所示：

My包括字段package.json中的 A、B 和 C。dependenciesB 需要它自己的依赖项，npm 警告它存在漏洞。我的问题是，如何覆盖package B dependency版本以使用最新版本？我已经读过这要么是手动编辑的工作，要么是shrinkwrap.json手动编辑package-lock.json，但我找不到任何具体的例子来说明如何做到这一点。

我确实看到 Yarn 支持 中的resolutions字段package.json，但我没有使用 Yarn。有没有办法通过开箱即用的 npm 来实现这一点？

Github 告诉我 package-lock.json 文件中的依赖项易受攻击且已过时。问题是，如果我执行npm installor npm update，它们都不会更新 package-lock.json 文件中的依赖项。

我对此进行了很多谷歌搜索，并删除了文件并完成了npm install.

如果有人可以帮助解决这个问题，我将不胜感激。有问题的包是 Hoek，我的 package.json 文件中实际上没有它。

提前谢谢了。

对我们的一个依赖项的依赖项的一些更新破坏了我们的构建，并且很难找出问题的原因是什么......

我们终于注意到@vue/component-compiler-utils需要"prettier": "^1.11.1"和 - 正如vue webpack 模板缺少解析器中所讨论的那样，Prettier@1.13.0导致我们遇到的问题，然后回滚到Prettier@1.12.0

我们如何确保将package-lock.json依赖项“锁定”到某个版本并且不会随着时间的推移或重新安装时更新？

package.json这是生成错误锁定文件的示例：

是否有可能有不同的节点版本（lts 和 current）并且有相同的package-lock.json？

目前，当我运行npm install它生成的包时，它与package-lock.json文件中指定的包不同。

例如，我正在使用nvm（节点版本管理器）在同一台机器上测试不同的节点版本。

nvm exec v10.3.0 npm i输出package-lock.json：

nvm exec v8.11.2 npm i输出package-lock.json：

正因为如此，这两个版本之间不断发生很多 git 冲突。

是否有任何配置package.json具有相同的输出package-lock.json？