就因为package.json里少了个^号,我们公司赔了客户十万块

一个^号引发的十万事故
最新推荐文章于 2025-11-21 13:03:00 发布
转载 最新推荐文章于 2025-11-21 13:03:00 发布 · 48 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s?__biz=MzA5NzgzODI5NA==&mid=2454104733&idx=2&sn=7f3e06ccefb56c0d8289846296ff0b11&chksm=86e8ba3453ba4aa0c8b60322d78a69ef6f71644c1620627cf12ae7b71cbeeaf946ecc4f56b9d&scene=126&sessionid=0
文章标签:

#json

写这篇文章的时候,我刚通宵处理完一个P0级(最高级别)的线上事故,天刚亮,烟灰缸是满的🚬。

事故的原因,说出来你可能不信,不是什么服务器宕机,也不是什么黑客攻击,就因为我们package.json里的一个依赖项,少写了一个小小的^(脱字符号) 。

这个小小的失误,导致我们给客户A的数据计算模块,在一次平平无奇的依赖更新后,全线崩溃。而我们,直到客户的业务方打电话来投诉,才发现问题。

等我们回滚、修复、安抚客户,已经是7个小时后。按照合同的SLA(服务等级协议),我们公司需要为这次长时间的服务中断,赔付客户十万块

老板在事故复盘会上,倒没说什么重话,只是默默地把合同复印件放在了桌上。

满脸写着无奈.gif

今天,我不想抱怨什么,只想把这个价值 十万块 的教训,原原本本地分享出来,希望能给所有前端、乃至所有工程师,敲响一个警钟。

事故是怎么发生的?

我们先来复盘一下事故的现场。

我们有一个给客户A定制的Node.js数据处理服务。它依赖了我们内部的另一个核心工具库@internal/core

在项目的package.json里,依赖是这么写的:

{
  "name": "customer-a-service",
  "dependencies": {
    "@internal/core": "1.3.5",
    "express": "^4.18.2",
    "lodash": "^4.17.21"
    // ...
  }
}

注意看,expresslodash前面,都有一个^符号,而我们的@internal/core没有

这个^代表什么?它告诉npm/pnpm/yarn:“我希望安装1.x.x版本里,大于等于1.3.5最新版本。”

而没有^,代表什么?它代表:我安装1.3.5这一个版本,锁死它,不许变。

问题就出在这里。

上周,core库的同事,修复了一个严重的性能Bug,发布了1.3.6版本,并且在公司群里通知了所有人。

我们组里负责这个项目的同学,看到了通知,也很负责任。他想:core库升级了,我也得跟着升。

于是,他看了看package.json,发现项目里用的是1.3.5。他以为,只要他去core库的仓库,把1.3.5这个tag删掉,然后把1.3.6的tag打上去,CI/CD在下次部署时,重新pnpm install,就会自动拉取到最新的代码。

他错了!

最致命的锁死版本

因为我们的依赖写的是"1.3.5",而不是"^1.3.5",所以我们的pnpm-lock.yaml文件里,**把这个依赖的解析规则,彻底锁死在了1.3.5**。

无论core库的同事怎么发布1.3.61.3.7,甚至2.0.0...

只要我们不去手动修改package.json,我们的CI/CD流水线,在执行pnpm install时,永远、永远,都只会去寻找那个被写死的1.3.5版本。

然后,灾难发生了。

core库的同事,在发布1.3.6后,为了保持仓库整洁,就把1.3.5那个旧的git tag删掉了

然后,客户A的项目,某天下午需要做一个常规的文案更新,触发了部署流水线。

流水线执行到pnpm install时,pnpm拿着lock文件,忠实地去找@internal/core@1.3.5这个包...

“Error: Package '1.3.5' not found.”

流水线崩溃了。一个本该5分钟完成的文案更新,导致了整个服务7个小时的宕机😖

十万块换来的血泪教训

事故复盘会上,我们所有人都沉默了。我们复盘的,不是谁的锅,而是我们对依赖管理这个最基础的认知,出了多大的偏差。

^ (Caret) 和 ~ (Tilde) 不是选填,而是必填

  • ^ (脱字符) :^1.3.5 意味着 1.x.x (x >= 5)。这是最推荐的写法。它允许我们自动享受到所有 非破坏性 的小版本和补丁更新(比如1.3.61.4.0),这也是npm install默认的行为。

  • ~ (波浪号) :~1.3.5 意味着 1.3.x (x >= 5)。它只允许补丁更新,不允许小版本更新。太保守了,一般不推荐。

  • (啥也不写) :1.3.5 意味着锁死。除非你是reactvue这种需要和生态强绑定的宿主,否则,永远不要在你的业务项目里这么干!

我们团队现在强制规定,所有package.json里的依赖,必须、必须、必须使用^

关于lock文件

我们以前对lock文件(pnpm-lock.yamlpackage-lock.json)的理解太浅了,以为它只是个缓存。

现在我才明白,package.json里的^1.3.5,只是在定义一个规则。

而pnpm-lock.yaml,才是基于这个规则,去计算出的最终答案。

lock文件,才是保证你同事、你电脑、CI服务器,能安装一模一样的依赖树的唯一路径。它必须被提交到Git

依赖更新,是一个主动的行为,不是被动的

我们以前太天真了,以为只要依赖发了新版,我们就该自动用上。

这次事故,让我们明白:依赖更新,是一个严肃的、需要主动管理和测试的行为。

我们现在的流程是:

image.png

  1. 使用pnpm update --interactivepnpm会列出所有可以安全更新的包(基于^规则)。

  2. 本地测试:在本地跑一遍完整的测试用例,确保没问题。

  3. 提交PR:把更新后的pnpm-lock.yaml文件,作为一个单独的PR提交,并写清楚更新了哪些核心依赖。

  4. CI/CD验证:让CI/CD在staging环境,用这个新的lock文件,跑一遍完整的E2E(端到端)测试。

这十万块,是技术Leader(我)的失职,也是我们整个团队,为基础不牢付出的最昂贵的一笔学费。

一个小小的^,背后是整个npm生态的依赖管理的核心。

分享出来,不是为了博眼球,是真的希望大家能回去检查一下自己的package.json

看看你的依赖前面,那个小小的^,它还在吗?😠

作者:ErpanOmer

链接:https://juejin.cn/post/7568418604812632073

“分享、点赞、在看” 支持一波👍
编程IT圈
关注
如何高效检查数十亿用户中是否存在特定用户名
weixin_45715405的博客
12-16 114
本文是经过严格查阅相关权威文献和资料,形成的专业的可靠的内容。全文数据都有据可依,可回溯。特别申明:数据和资料已获得授权。本文内容,不涉及任何偏颇观点,用中立态度客观事实描述事情本身。
就因为package.json了个^公司客户十万块
IT界那些事儿
11-04 1463
摘要:因package.json中缺一个脱字符(^)导致依赖版本被锁死,团队在核心工具库更新后无法自动获取新版,最终引发7小时线上服务中断,客户10万元。事故暴露了依赖管理的严重认知偏差:必须使用^允许非破坏性更新;lock文件是确保依赖一致性的关键;依赖更新应是主动测试行为而非被动等待。这个价值10万元的教训警示开发者需严格规范版本管理流程,避免类似事故。
json.parsearray 将string 转成实体 没有获取到值_Coding不能将就:读写缓存
weixin_39747075的博客
12-06 733
对于互联网程序员来说,读写缓存是再常见不过的事情了。我们来看下面这段代码逻辑:public SomeObject callSomething(SomeObject req) { // Step 1: try to get object from the cache. SomeObject obj = getObjFromCache(req.getObjId()); //...
10分钟让你掌握Linux常用命令(+3万+++收藏)
lydms的博客
09-25 79万+
1、目录操作。2、文件操作。3、文件内容操作。4、压缩和解压缩。5、日志查看。6、Linux下文件的详细信息。7、常用的docker容器的命令。8、其他命令。
python获取json数据中某个字段_python获取json数据中某个字段
weixin_35740442的博客
12-29 1万+
Python 怎么获取json 的特定的某个值有什么放不下,不就是几瓶酒几根烟几个难熬的夜晚。首先我们要导入json包,新建一个对象。 我坐在一块一亿五千万年的石头上,发了一个下午的呆…接着直接调用json.dumps将对象转化为json格式,所示,这是比较常用的。 有时候,不要觉得他不在乎你,而是你把他看得太重。我们可以输出一下转化以后的格式,如果显示是str则代表是json格式。 有时我们以...
Go 1.25 新特性深度解析:json/v2 重新定义 Go 的 JSON 处理
weixin_44058951的博客
09-23 1302
在 Go 语言开发中,是最常用、最基础的包之一。但你是否也经历过这些“经典痛苦”?性能差MarshalUnmarshal慢,尤其在高并发场景下成为瓶颈;内存高:频繁分配临时对象,GC 压力大;行为不一致nilSlice 序列化为null,但前端期望是[];不支持流式处理:大 JSON 文件无法逐块读取,内存爆掉;标签功能弱:无法自定义空值判断、字段排序、自动类型转换;UTF-8 乱码静默处理:非法字符被替换,数据损坏却无报错。
使用json、yaml、toml作为配置文件,你知道他们的区别吗
小帅の技术博客
12-11 1544
前端领域使用最广的JSON文件格式,以及在k8s领域大显身手的yaml文件格式,最近兴起的toml文件格式。他们的区别是什么?各自的优势又是什么?有什么缺点呢?作为配置文件使用的区别又是什么呢?
一次JSON序列化panic引发的死锁问题记录
golfxiao的专栏
01-02 494
整场会议的所有心跳请求都被阻塞,所以内存只升不降,接口大量60s响应超时,压测机被超时请求阻塞,最终表现为TPS很低;
json字符串解析与类型转换
空夜's Blog
09-30 2255
json字符串解析与类型转换示例 HTTP请求的返回值通常是以json字符串的形式,服务端在接收到返回值时,需要解析返回值得到想要的结果,包括状态码、数据等。这介绍一下如何解析json字符串,获取其中的参数,以及将某个参数转换成复杂的List<Comment>这样的类型。 需要使用jar包: <dependency> <groupId>ne...
相关业务问题+系统问题+设计问题整理统计
热门推荐
张彦峰的博客
04-07 171万+
业务系统及其他相关面试问题整理:线上相关问题排查+高并发系统的限流+高并发秒杀系统设计+负载均衡+一个网站有 20 亿 url 存在一个黑名单中,这个黑名单要怎么存?若此时随便输入一个 url,你如何快速判断该 url 是否在这个黑名单中?并且需在给定内存空间(比如:500M)内快速判断出?
【大数据】Flink CDC 实时同步mysql数据
congge
10-07 1万+
Flink CDC 实时同步mysql数据
npm warn deprecated boolean@3.2.0: Package no longer supported. Contact Support at https://www.npmjs.com/support for more info. 结局办法
06-19
检查项目的 `package.json` 文件,确保使用的依赖版本是最新的。如果项目中直接引用了 `boolean` 包,可以尝试升级到最新版本(如果存在): ```bash npm install boolean@latest ``` - **寻找替代包** 如果...
【Android FrameWork】延伸阅读:AssetManager
u012739527的博客
11-19 676
AssetManager 功能与使用解析 AssetManager 是 Android 中管理 APK 内 assets 目录的核心工具类,主要负责处理未编译的原始文件访问。它与处理 res 目录编译资源的 Resources 不同:AssetManager 通过相对路径访问 assets 下的任意格式文件,支持多级目录结构;而 Resources 通过资源 ID 访问预定义类型的编译后资源。 AssetManager 的核心功能包括: 加载 APK 中的 assets 目录(通过 addAssetPath
webpack-dev-server 不是内部或外部命令
wobenwoxiangfei的博客
11-20 331
以下是解决。
智能体工作流开发体验
白水空空
11-20 929
效率提升:对高频复用的资源(如角色图片、背景模板)进行本地缓存,减 API 调用次数 质量优化:针对不同书籍类型(小说 / 科普 / 历史)微调提示词模板,增强风格适配性 容错处理:在工作流中添加节点重试机制(如音频生成失败时重试 3 次),提升稳定性 引入多语言支持:扩展语音合成插件至多语言音色,适配外文书籍 增强交互性:通过 Coze 的 “用户输入节点” 在视频生成过程中插入用户提问环节 自动化发布:对接抖音 / 视频 API,实现视频生成后直接发布至社交平台 按 “基础准备→核心资源→工作流节点
基于华为开发者空间实现花卉识别
优快云高校俱乐部官方博客
11-21 1498
基于华为开发者空间实现花卉识别
Trivy扫描pom.xml使用方法
最新发布
lusa1314的博客
11-21 344
你遇到的情况是 Trivy 默认会扫描项目的整个依赖树,包括所有直接依赖和间接依赖(传递依赖)。要只关注直接依赖的漏洞,可以使用 Trivy 的。中直接声明的依赖组件及其漏洞,忽略间接依赖。这样你就可以专注于需要直接升级的依赖版本,而不会被庞大的依赖树干扰。参数指定要显示的依赖关系类型。要只看直接依赖,可以将其设置为。参数,Trivy 会只扫描并显示。并只显示直接依赖的漏洞。相关功能来过滤结果。Trivy 支持通过。
JavaScriptRESTfulAPI
2509_93932767的博客
11-21 165
比如,GET用来获取数据,POST用来创建新资源,PUT用来更新,DELETE自然就是删除。我个人更推荐Fetch,因为它是浏览器原生支持的,不用额外引入库,而且用起来挺直观的。但这有个坑:Fetch默认不会自动处理错误,比如404或500状态码,它不会自动reject,得手动检查。这样写,代码看起来更同步,容易理解。另外,别忘了处理网络超时问题,可以用AbortController来取消请求,避免用户等待太久。除了Fetch,Axios也是个好选择,它自动处理JSON转换,错误处理也更友好。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值