问题标签 [package-lock.json]

我有一个 .npmrc 文件：

package-lock.json 包含已解析的依赖项字段，如下所示：

现在，当我执行 npm install 时，它会将 package-lock.json 解析字段更改为指向本地工件，而不是 .npmrc 中指定的工件，例如：

我们已经本地化了代码，这将使生活在世界另一端的人拒绝访问，他们的工件 URL 指向其他地方，或者它只会更改 package-lock.json 文件，让他们指向他们的本地 URL ，并且我们将始终更改 package-lock.json 文件。

我也遇到了“开发”和“完整性”的问题，但它们已使用https://github.com/npm/npm/issues/16938#issuecomment-339863980修复

我正在使用最新版本的 node 和 npm。

无论如何我们可以避免这种情况吗？

今天我从一个共享的 Git 存储库中提取了最新的内容，并注意到我团队中的另一个开发人员添加了一个 NPM 包。所以我跑了npm install，然后看到我的package-lock.json文件已经改变了。当我深入研究发生了哪些变化时，我发现它"dev": true已从几个包描述中删除，例如：

从几个包中"dev": true消失了。npm install我应该担心 NPM 会这样做吗？我不希望为生产安装这些软件包。

这个问题"dev": true有点相关，但还没有一个好的答案，我仍然想知道我是否做错了什么。为什么 NPM 删除这个？

Github 最近推出了一项功能，可以通知您package-lock.json. 我想解决这些问题，但这里列出的大多数包都是我的依赖项的依赖项，因此不清楚package.json需要升级哪个顶级（在 my 中列出）包才能解决问题。

我意识到我可以进入 my package-lock.json，找到包，跟踪它，直到找到 my 中的包package.json，但是当我有几十个包要更新时，这似乎是不必要的乏味。编写一个脚本来实现自动化也不会太难，但在我开始努力之前，我希望有一个现有的工具或（理想情况下）npm 函数可以简单地给我答案。

因此，假设我不可能是第一个想要这样做的人，我的问题是：如何确定我的哪个包package.json导致另一个特定的包被列在我的包中package-lock.json而无需手动通过包锁并追溯每个包裹？

根据标题，我一直在以非常糟糕的方式开发我的反应应用程序。

由于我在离线环境中工作，每当我需要在我的应用程序中安装一个新的包时，我都会手动将它复制到我的 node_modules 文件夹中。问题是我通常不会使用新安装的依赖项更新我的 package.json 文件。

因此，很长一段时间后，我的 node_modules 文件夹变得非常大（300 ish）。

当我将应用程序发送给我的同事进行开发并且他运行 npm install "some package" 时，npm 删除了我手动安装的包的一半以上（哎哟）。（这也解释了 npm 在此https://github.com/npm/npm/issues/17929#issuecomment-322881421上的行为）

有没有办法让我用我的 node_modules 文件夹中手动安装的所有依赖项来更新我的 package.json 文件？除了必须手动键入所有 300 个加模块（+ 下载的模块，因为它是另一个 node_module 的依赖项）？

我非常绝望，所以任何建议都将不胜感激。

我在 Visual Studio Code 中使用了该命令yarn install，但出现错误。以下错误消息。

我认为它与 npm package-lock.json冲突与 yarn.lock 重叠。

针对问题采取行动。

移除package-lock.json，移除node_modules

这个问题仍然没有解决。

谢谢你！

我已经完成了 npm 审计，它表明我有一个高漏洞。这是它给我的信息：

我查看了 node-gyp 包的 package-lock.json，发现 tar 包仍然有 2.0.0 版本，但我需要 4.4.8：

然后我搜索了同样的问题，所以我找到了这个答案。然后我做了

但 tar 包的版本仍然保持不变。我也尝试过直接更新它，npm install tar@4.4.8但它只是将 tar 放在我的 package.json 中。我还尝试了 npm update 和 npm outdated。一切看起来都是最新的。

我的机器上安装了 npm 版本 6。我有以下内容package-lock.json：

每当我运行npm install它时，它都会更新我的 package-lock.json 并且新的联系人就像：

我希望不要在 package-lock 的版本中添加~tild 或 cap 。^我之前什至没有添加或删除任何包npm install。Lock文件非常大，因此很难手动维护更改。

问题是什么？我应该如何在不影响旧版本的情况下安装新包？

我更新了package.json文件以从 angular 6 移动到 angular7。当我完成运行时npm install，节点模块已更新，并且应用程序按预期在我的本地运行。但是，由于某种原因，詹金斯的构建失败了。经过一些研究后才知道package-lock.json没有得到更新npm install。

我的期望是package-lock.json当我们这样做时应该创建/更新npm install。如果我错了，请纠正我？所以，我删除了文件并再次重新运行命令，期待一个新package-lock.json文件，但仍然没有创建/更新。我尝试检查.npmrc 并没有看到任何package-lock.json属性，但是shrinkwrap=false在文件中。

还有其他原因这不起作用吗？

我正在尝试部署我的智能合约无服务器（AWS lambda）并且我正在使用 Truffle 框架。

该代码正在部署在较早的系统中（较早的部署在此处）。现在我已经更新了智能合约版本。当我部署它时。由于依赖项不匹配 n 版本更改，我无法在我的新系统中使用。我使用 ganache 在本地系统中测试了我的智能合约。uts 工作正常。部署无服务器时，我遇到了问题。

下面是错误截图

在此处输入图像描述 - 以下是 package.json 中的依赖项。

我已将 package.json 和 package-lock.json 更新为较新的版本，但该项目未部署无服务器。

我npm ci用来安装 npm 模块，它安装的软件包版本与package-lock.json

现在我需要添加npm module开始编写单元测试，我使用这个命令：npm i jest

我希望它应该只添加jest dependencies，但npm更新 3-5 级依赖项的所有过时依赖项package-lock.json

我想做这样的事情npm ci --save-dev jest

如何在npm不更改旧依赖项的情况下安装包package-lock.json？

UPD例如，请克隆这个 repo，然后使用npm ciand npm i empty-module，如果你看git diff你会看到很多package-lock.json文件的变化