Нужно ли добавлять в .gitignore package-lock.json?

Question

WebDev @kirill-93

Нужно ли добавлять в .gitignore package-lock.json?

Подскажите, нужно ли добавлять в .gitignore файл package-lock.json?
Вроде бы не нужно. Об этом много где написано, по умолчанию его нет в .gitignore, но когда я запускаю npm install на сервере, при следующем коммите вылазит ошибка "Your local changes to the following files would be overwritten by merge: package-lock.json"

Вопрос задан более трёх лет назад
24921 просмотр

Комментировать

Подписаться 3 Простой Комментировать

Решения вопроса 2

4 комментария

kafkiansky @mad_maximus

И это неправильный вывод. Вы много библиотек видели, которые публикуют package-lock.json? Я - нет.

Написано более трёх лет назад
Руслан Лопатин @lorus

Опубликовать package-lock.json невозможно. npm этого не допустит.
А если действительно нужно - то для этого есть npm-shrinkwrap.json. Но, как подчёркнуто в документации, его использование не рекомендуется. Разве что для CLI инструментов.

Написано более трёх лет назад
Руслан Лопатин @lorus

kafkiansky, Посмотрите, хотя бы, в репозиторий redux. Это библиотека. И package-lock.json в нём есть. Естественно, что он не публикуется, поскольку для этого не предназначен.

Написано более трёх лет назад
kafkiansky @mad_maximus

Руслан Лопатин, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10.

В общем, как хотите, так и поступайте. Видимо, вы еще не сталкивались с проблемами, о которых идет речь под этим вопросом.

Написано более трёх лет назад

1 комментарий

Пригласить эксперта

Ответы на вопрос 2

5 комментариев

Александр @codemafia

Не согласен. Всегда нужно игнорить,
На практике lock-файл часто приводит к ошибкам как в библиотеке, так и в проекте. Поэтому лучшим решением будет указывать конкретные версии зависимостей в package.json, отслеживая обновления через какой-нибудь dependency bot или самостоятельно, делая бамп в репу.
Lock файлы нужны чтобы управлять зависимостиями зависимостей, если вдруг что то пойдёт не так. Пусть он генерируется у разработчика.

Написано более трёх лет назад
Lynn «Кофеман» @Lynn

Александр, не согласен.
Разработчик протестирует всё у себя, а когда будете выкатывать в прод какая-нибудь библиотека на третьем уровне зависимостей обновится и всё сломает. package-lock как раз нужен как защита от таких внезапных неконтролируемых обновлений

Написано более трёх лет назад
Александр @codemafia

Алексей Тен, вообще, эту проблему решает CI + dependency bot.

Написано более трёх лет назад
Robur @Robur

Александр, Можно любых костылей нагородить, но зачем решать эту проблему как-то еще, когда есть специальный инструмент именно для нее?
может в npm и есть какие-то проблемы, а с yarn.lock все хорошо.

Написано более трёх лет назад
Lynn «Кофеман» @Lynn

Александр, CI никак не решает проблему когда между тестированием и выкладкой обновился какой-то пакет и всё сломал

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

Простой
Почему в букмарклете должным образом не выполняется Alt + Click?
- 1 подписчик
- 3 часа назад
- 12 просмотров
0

ответов
JavaScript

Средний
Как создать кроссбраузерный функиональный плеер?
- 1 подписчик
- 3 часа назад
- 18 просмотров
0

ответов
JavaScript

+1 ещё

Средний
Почему функция mnemonicToWalletKey из библиотеки тон генерирует неверный адрес кошелька?
- 1 подписчик
- 11 часов назад
- 41 просмотр
1

ответ
JavaScript

+1 ещё

Простой
Как передавать данные гугл таблицы в телеграм при добавлении новой записи?
- 1 подписчик
- 11 часов назад
- 48 просмотров
0

ответов
JavaScript

Простой
Проблема с добавлением полей товара в куки, почему-то при клике ничего в куки не записывает, что делать?
- 1 подписчик
- 13 часов назад
- 27 просмотров
2

ответа
JavaScript

+3 ещё

Средний
Какие есть способы организовать редкое добавление статей на сайт?
- 1 подписчик
- 14 часов назад
- 88 просмотров
1

ответ
JavaScript

Простой
Как следить за всей страницей разом через IntersectionObserver?
- 1 подписчик
- 15 часов назад
- 50 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Как сделать авто подтверждение?
- 2 подписчика
- 17 часов назад
- 123 просмотра
1

ответ
JavaScript

+2 ещё

Средний
Проблемы с telegram bot, а именно с сообщениями, как исправить?
- 1 подписчик
- 17 часов назад
- 62 просмотра
1

ответ
Git

+1 ещё

Сложный
Как исправить HEAD detached?
- 1 подписчик
- вчера
- 74 просмотра
2

ответа
Показать ещё Загружается…

Junior JavaScript Developer

КРАФТТЕК • Санкт-Петербург

от 60 000 до 80 000 ₽

JavaScript разработчик

вАйТи

от 5 000 до 25 000 ₽

JavaScript Fullstack

OnClass

от 200 000 до 600 000 ₽

Каталог AI tools

18 апр. 2024, в 01:12

150000 руб./за проект

Загрузка характеристик из xml/csv файла в карточки товаров WordPress

18 апр. 2024, в 00:58

5000 руб./за проект

Нарисовать подарки для соц сети

18 апр. 2024, в 00:10

50000 руб./за проект

Answer 1 · 2019-07-19 12:06:04

Согласно официальной документации package-lock.json предназначен быть в репозитории, чтобы все разработчики проекта работали с одним и тем же набором зависимостей.

Относительно того, что его не нужно включать в код библиотек - неправда:

Во-первых, когда выполняется npm publish, package-lock.json автоматически исключается из опубликованного пакета (проверьте командой npm archive, например)
А во-вторых, package-lock.json используется только в корне проекта. В зависимостях он игнорируется. То есть в директории node_modules/your-dependency он может присутствовать невозбранно.

Ответ на ваш вопрос: никогда не добавляйте package-lock.json в .gitignore

Answer 2 · 2019-07-19 10:41:14

На сервере надо запускать npm ci

Если он чего-то не смог поставить, значит у вас неактуальный package-lock.json и нужно это исправлять.

Answer 3 · 2019-07-19 10:41:40

Если библиотека, то нужно, чтобы пользователи вашей библиотеки всегда скачивали актуальные зависимости из package.json. Если проект, то не нужно, тогда те, кто пишут проект вместе с вами, будут использовать библиотеки, версии которых указаны в package-lock.json. Следственно, у них не будет конфликтов.

Answer 4 · 2021-08-07 00:09:01

Советуют использовать lock файл для приложений, но не для библиотек, потому что для пользователей библиотек файл lock игнорируется. И чтобы быть более приближённым к пользовательским окружениям этот файл не используется в репозиториях библиотек.

Более подробно:
https://github.com/sindresorhus/ama/issues/479#iss...

Нужно ли добавлять в .gitignore package-lock.json?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт