前端依赖与可信构建
背景 前端使用npm来作为包管理工具,它的使用门槛/发包门槛低到惊人,好处是培养了非常丰富的社区和庞大的第三方包,包的数量远超第二名maven。 但所有东西都会有代价,坏处是npm的包质量方面良莠不齐,依赖链非常深,很简单的小工具方法都可能去使用包。
npm
3 篇文章
NPM小技巧
package.json里描述依赖时候一般版本声明是前面带 '^' 的形式,意味着安装依赖时npm会自动尝试去安装声明版本的最新patch,多人合作一个项目时就可能出现大家依赖不一致的问题,出现问题后的复现与调试会比较麻烦,容易出现仅在某台电脑上可以复现的情况。
package-lock.json[译]
为了更好的理解这个package lock.json是干什么的,花了一点时间把npm官网这篇文档翻译了一下,第一次翻译英文文档,很多地方拿不准,用 标注了。