因为没提交 package-lock.json,我们的线上项目差点翻车

最新推荐文章于 2026-01-06 21:24:46 发布
原创 最新推荐文章于 2026-01-06 21:24:46 发布 · 314 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#npm

因为没提交 package-lock.json,我们的线上项目差点翻车

“怎么会突然挂了?昨天还是好的啊!”
—— 这是我周一早上被运维炸到的第一句话。

一、事故现场

上周我们上线了一个小功能,按理说改动不大,代码都通过 CI 测试了
然而生产环境却出现了奇怪的错误:

  • 页面依赖某个工具库报错
  • 某个接口返回异常
  • 线上日志显示版本不匹配

追查半天,发现问题根源:

我们的项目没有上传 package-lock.json,CI 重新安装依赖时拉到了 最新版本 的一个子依赖,而这个版本有破坏性改动。

换句话说:

  • 开发环境跑得好好的
  • 生产环境用的依赖和开发环境不一致
  • 导致生产环境翻车

二、为什么上传 package-lock.json 很关键

1️⃣ package.json 只是“意图”

"dependencies": {
  "lodash": "^4.17.0"
}
  • ^4.17.0 表示允许 4.17.x 的任意版本
  • 它告诉 npm:“我能接受这些版本”
  • 但不保证每次安装都一样

2️⃣ package-lock.json 是“结果”

"lodash": "4.17.21"
  • 精确记录了当前安装版本
  • 包括所有子依赖版本
  • 保证 安装可复现

换句话说,package.json 是意图,package-lock.json 才是结果

三、npm install 会自动更新 lock 吗?

大多数人误以为:

“写了 ^4.17.0,npm install 会升级到最新符合范围的版本吧?”

实际情况:

  • 只要 lock 文件存在且满足 semvernpm install 不会升级
  • registry 上有新版本也不会动

只有在以下情况,lock 文件才会更新:

  1. 修改 package.json
  2. 主动执行 npm update / npm install 某个包
  3. lock 文件被删除或损坏

这也解释了为什么没有上传 lock,会导致生产环境依赖漂移。

四、生产环境的正确姿势

1️⃣ 开发环境

npm install
  • 安装依赖
  • 生成或更新 package-lock.json
  • 测试通过 → 提交 lock 文件到仓库

2️⃣ CI / 生产环境

npm ci
  • 严格按照 lock 文件安装
  • 不解析 semver,不升级依赖
  • lock 不一致 → 构建失败

CI 的这个流程可以保证开发环境和生产环境完全一致

五、node_modules 要不要提交?

绝大多数情况下 不要提交

  • 体积庞大
  • 不可复现
  • 已有 package-lock.json 管控依赖

例外场景:

  1. 内网无法访问 npm registry
  2. 临时修改了依赖源码(建议用 fork 或 patch-package,而不是直接提交 node_modules)

六、教训总结

  • 没有上传 package-lock.json,生产环境不可控
  • package.json 是意图,package-lock.json 是结果
  • CI / 生产环境必须依赖 lock 文件安装
  • node_modules 不提交,除非特殊场景
  • 如果临时修改依赖源码 → 用 fork 或 patch-package

一句话总结:

想要安全上线,先确保 lock 文件在仓库里。

wakangda
关注
前端领域中 Node.js 的安全漏洞扫描与修复
小白菜的博客
06-13 979
本文聚焦前端开发中 Node.js 项目的安全漏洞问题,覆盖依赖包漏洞扫描(如 lodash、axios 等常见库)、代码层面漏洞检测(如 SQL 注入、XSS)、修复策略(版本升级、补丁覆盖、替代方案)三大核心场景,帮助开发者建立从「扫描→分析→修复→验证」的完整安全闭环。本文将按照「漏洞是什么→如何发现漏洞→如何修复漏洞→如何预防漏洞」的逻辑展开,结合工具实操、代码案例和真实场景,让您既能理解原理,又能直接落地。依赖漏洞:第三方库中的「过期食材」,可能导致数据泄露、代码执行等风险。扫描工具:如。
用一套开发者视角重构的全景指南:什么是 SAP UI5 的 Development Environment
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
09-23 164
企业SAP UI5开发环境选择需平衡研发效率与治理要求,主要有三种方案:1)本地UI5 Tooling路线,基于Node.js生态,灵活可扩展但需团队规范;2)云端BAS方案,开箱即用、标准化配置,适合合规要求高的场景;3)混合路线,使用VS Code搭配SAP Fiori工具扩展,兼顾本地开发与模板生成。选择时需考量团队技术栈、企业网络策略、部署目标等因素,建议新项目优先评估云端BAS,存量项目可逐步迁移至UI5 Tooling现代化工具链。
为什么大多数开发者都答不上这个关于 package.json 的简单前端面试题
粉丝们务必加入微信粉丝群
11-05 1045
全栈AI·探索:涵盖动效、React Hooks、Vue 技巧、LLM 应用、Python 脚本等专栏,案例驱动实战学习,点击二维码了解更多详情。想避免那些“明明代码问题,却被依赖拖下水”的场景, 从看懂、写好、维护好一个 package.json 开始,就已经赢了半步。这些东西,完全可以在项目刚起步的时候就被处理掉, 而不是等到 React 或 Node.js 项目已经跑到一半,才被迫返工。这个项目是能在面试官的电脑上“一键跑起”, 还是在 CI、生产、用户设备上,一次次翻车
Vue 项目 package.json 终极详解(主流实践 / 逐项说明)
tigerhhzz的博客
08-24 1556
代码质量:eslint、eslint-plugin-vue、@typescript-eslint/*、prettier、eslint-config-prettier。库需增加:main(CJS 入口)、module(ESM 入口)、types(类型声明)、exports(现代条件导出)、files(发布白名单)。开源库选择合适协议(MIT/Apache-2.0)。分析/调优:rollup-plugin-visualizer(体积可视化)、vite-plugin-inspect(调试插件链)。
【制作npm包2】了解 package.json 相关配置
a942242856的博客
08-13 743
各大项目的根目录都可以看到`package.json`这个文件,这个文件到底有什么作用了。对于这个文件的配置项很多,其中最常配置的`name`、`version`,在平时开发种,大多数配置项可能非常用。但是对于制作一个安装包而言,太重要了,这里必须解释一番。
Langchain-Chatchat项目npm安装依赖问题解决
weixin_35756130的博客
12-15 927
本文针对Langchain-Chatchat项目npm安装依赖常见问题,系统解析了镜像源配置、缓存清理、Node.js版本兼容、构建工具链缺失等核心问题,并提供国内镜像加速、pnpm替代方案及内网离线部署实战技巧,帮助开发者高效完成本地化AI应用的环境搭建。
终极指南:解决 Vue 项目中 “regenerator-runtime/runtime“ 缺失报错
一只奋斗的猪
12-24 783
在 Vue 项目中使用 async/await 时,遇到 "This dependency was not found: regenerator-runtime/runtime" 报错?控制台推荐的安装命令往往无效。本文将揭示该报错的真实原因(Babel 转译机制),并提供包含“正确安装依赖、入口文件引入、清除缓存”在内的三步终极解决方案,助你彻底修复 Webpack 构建错误。
如何阅读源码 —— 以 Vetur 为例
frontend_frank的博客
08-22 392
全文近万字...来都来了,点个赞再走吧我很早就意识到,能熟练、高效阅读开源前端框架源码是成为一个高级前端工程师必须具备的基本技能之一,所以在我职业生涯的最早期,就已经开始做了很多次相关的尝...
如何阅读源码--以Vetur为例
时清云的博客
08-05 706
作者: 范文杰 Tecvan 原文链接:https://mp.weixin.qq.com/s/wD4ERrDIPLweLvNalC8h4A 我很早就意识到,能熟练、高效阅读开源前端框架源码是成为一个高级前端工程师必须具备的基本技能之一,所以在我职业生涯的最早期,就已经开始做了很多次相关的尝试,但结果通常都以失败告终,原因五花八门: 缺乏必要的背景知识,犹如阅读天书 不理解项目架构、设计理念,始终不得要领 目标不够聚焦,阅读过程容易复杂化 容易陷入细节,在不重要的问题上纠结半天 容易追着分支流程跑,分散注意
记录Vue3-Admin-Template升级步骤
前端菜鸡的博客
01-18 2815
一次简单的记录vue3-admin-template升级的过程
安全、可控的 NPM 释放背后的秘诀
粉丝们务必加入微信粉丝群
12-25 866
只要你某一次发布处理好,下一秒就会出现这种灾难——半个用户群体安装了他们根本要的 alpha,然后你在工位上当场出汗。一个干净的 tag 列表,会让人感觉你做事是闭环的。结果它直接改变了我对。这就是“技术细节”真正该发挥的作用: 让你的发布看起来不危险、不偷偷摸摸,而是可预期、可选择、可追踪。你刚把版本号打出来,下一步 publish 的时候,会发生一件“静悄悄但致命”的事。),你就能把这段实验阶段命名得很清楚,比如 alpha、beta、rc,随你叫。,你可能用过,但未必认真看过它的“全能程度”。
在vue项目创建中,npm install与cnpm install区别
10-18
| **锁文件处理** | 严格遵循`package-lock.json`版本 | 可能忽略`package-lock.json`[^2] | $ \text{VersionMatch}_{\text{npm}} = 1.0 $ | | **适用场景** | 生产环境部署、CI/CD流水线 | 开发环境快速安装、国内...
使用豆包MarsCode 编写 Node.js 全栈应用开发实践
DouBaoMarsCode的博客
09-05 2844
​ 以下是「豆包MarsCode 体验官」优秀文章,作者狼叔。 欢迎更多用户使用豆包MarsCode 并分享您的产品使用心得及反馈、创意项目开发等,【有奖征集|人人都是豆包MarsCode 测评官!】活动正在火热进行中,欢迎大家投稿参加,惊喜大礼等着大家! ​
npm安装报错npm error code EUNSUPPORTEDPROTOCOL npm error Unsupported URL Type “workspace:“: workspace:*
代码简单说 Vue、JAVA、PHP、Node.js 熟练运用,接口、架构、性能全搞定。
06-11 1499
npm 报错,其实就是版本或工具不兼容导致的,不是你的网络问题,也不是代码出错。
pnpmnpm 安装 TypeScript 的区别(附:Vue 项目常用工具安装命令总结、命令缩写、精确版本)
Irene1991的博客
01-05 376
本文对比了pnpmnpm安装TypeScript的两种方式:本地开发依赖(pnpm add typescript -D)和全局安装(npm install -g typescript)。
执行 npm 安装命令时,包被装到了 C 盘用户目录下,而非项目根目录
青衫折扇的博客
12-31 273
摘要:npm安装包时出现路径异常(安装到C盘而非项目目录)的解决方案。可通过检查npm配置(prefix、cache路径),重置prefix为默认值,并清理缓存来解决。验证时需确认项目目录出现node_modules和package-lock.json文件,且C盘不再新增安装包。该问题本质是npm工作目录识别异常或配置被修改所致。(150字)
nodejs - npm run原理
尽日寻春不见春,芒鞋踏遍陇头云。归来笑拈梅花嗅,春在枝头已十分。
12-31 1041
npm run xxx 的执行机制:当运行该命令时,npm 会从 package.json 的 scripts 字段查找对应脚本,并执行一系列操作:1)增强 PATH 环境变量以识别本地安装的 CLI 工具;2)注入项目环境变量;3)通过系统 Shell 执行命令;4)自动触发 pre/post 生命周期钩子(如 prestart/poststart)。该机制支持参数传递、环境变量覆盖和跨平台命令组合,其核心优势在于标准化项目操作流程,隐藏技术细节,提升团队协作效率。典型应用场景包括开发服务器启动、构建部署
Vue3 项目 npm 与 pnpm 混用解决方案
Irene1991的博客
01-05 208
在Vue3项目中混用npm和pnpm会导致依赖管理混乱,建议统一使用一个包管理器。解决方案包括:1)立即停止混用行为;2)清理现有环境(删除node_modules和lock文件);3)统一使用pnpm(推荐)或npm;4)添加预检查脚本强制统一;5)配置版本控制忽略其他lock文件;6)团队统一配置.npmrc;7)解决常见依赖冲突问题;8)文档化团队规范。执行完整清理后重新安装依赖,可确保项目依赖管理的一致性,避免后续冲突问题。
前端包管理工具——npm、yarn、pnpm详解
最新发布
ningsheng的博客
01-06 654
在前端开发中,包管理工具经历了从“解决有无”到“追求性能与安全”的演变。截至目前,最常用的工具依然是 npm、Yarn 和 pnpm,而全栈运行时 Bun 也在高性能场景中占据一席之地。
git check-ignore -v package-lock.json .gitignore:11:package-lock.json package-lock.json 第11行是dist
01-05
你运行了: ```bash git check-ignore -v package-lock.json ``` 输出是: ``` .gitignore:11:package-lock.json package-lock.json ``` 但你说:**第 11 行是 `dist`** 这说明有一个严重的问题 —— **Git 显示的行号与你看到的内容不一致!** 这意味着:`.gitignore` 文件中 **确实有一行 `package-lock.json`,但它可能被隐藏字符干扰、或你在编辑器里看到真实内容。** --- ## 🔍 深度排查:为什么“明明有写却说有”? ### ✅ 问题本质: > Git 认为 `.gitignore` 第 11 行写着 `package-lock.json`,但你看不到 → 说明文件中有 **不可见字符** 或 **编码问题**(如 BOM、空格、制表符混淆),或者你查看方式不对。 --- ## 🛠 解决方案一:用命令行精确查看第 11 行 不要依赖 IDE/编辑器显示,使用终端命令查看真实内容: ```bash # 查看 .gitignore 前 15 行,并显示行号和不可见字符 cat -A .gitignore | nl -ba ``` ### 示例输出解释: ```text 1 ^I# 2 ^ILog$ 3 ^Ilogs$ 4 ^I*.log$ 5 ^Inpm-debug.log*$ 6 ^Iyarn-debug.log*$ 7 ^Iyarn-error.log*$ 8 ^Ipnpm-debug.log*$ 9 ^Ilerna-debug.log*$ 10 ^I$ 11 ^Ipackage-lock.json$ 12 ^Inode_modules$ 13 ^Idist$ 14 ^Idist-ssr$ 15 ^I*.local$ ``` 🔍 注意: - `^I` = 制表符(Tab) - `$` = 行尾标记 - 如果第 11 行出现了 `package-lock.json$`,那就说明它真的存在! 👉 即使你在 VS Code 里看见,也可能是缩进太多、折叠了、或用了软换行导致视觉错位。 --- ## 🛠 解决方案二:直接搜索关键词 用 grep 精确查找是否包含 `package-lock.json` ```bash grep -n "package-lock" .gitignore ``` ### 输出示例: ```bash 11:package-lock.json ``` ✅ 这就坐实了:第 11 行确实写了 `package-lock.json`,只是你注意到! --- ## ✅ 如何修复? ### 步骤 1:编辑 `.gitignore` 并删除该行 ```bash # 使用 vim 编辑(推荐) vim .gitignore ``` 跳转到第 11 行: - 按 `Esc` - 输入 `11G` 跳转到第 11 行 - 按 `dd` 删除这一行 - 输入 `:wq` 保存退出 或者使用其他编辑器打开并手动删除含有 `package-lock.json` 的那一行。 --- ### 步骤 2:验证是否已解除忽略 ```bash git check-ignore -v package-lock.json ``` ✅ 正常情况:**无任何输出** → 表示不再被忽略! --- ### 步骤 3:将 `package-lock.json` 加入 Git 跟踪 ```bash # 添加文件 git add package-lock.json # 查看状态 git status ``` 你应该看到: ```bash Changes to be committed: new file: package-lock.json ``` → 提交即可: ```bash git commit -m "chore: add package-lock.json to version control" ``` --- ## ⚠️ 可能原因总结 | 原因 | 说明 | |------|------| | ❌ 手动添加过 `package-lock.json` 忘记删除 | 曾为了“干净”而加进去,后来忘了 | | 💬 编辑器软换行导致看错行号 | 实际物理行 ≠ 视觉行 | | 🧼 复制粘贴时带入隐藏内容 | 从网页复制 .gitignore 时常带多余行 | | 🔤 不可见字符干扰 | 如 `\r\n`、BOM 头等 | --- ## ✅ 推荐:使用标准模板重建 .gitignore 建议使用官方推荐的 Node.js 项目 `.gitignore` 模板: 👉 来源:https://github.com/github/gitignore/blob/main/Node.gitignore 下载命令: ```bash curl -o .gitignore https://raw.githubusercontent.com/github/gitignore/main/Node.gitignore ``` 然后检查是否包含你需要的规则(如 `.vscode/extensions.json` 白名单)。 --- ## ✅ 最终验证流程 ```bash # 1. 确认不再被忽略 git check-ignore -v package-lock.json # (期望:无输出) # 2. 添加文件 git add package-lock.json # 3. 查看状态 git status # 应显示 "new file: package-lock.json" # 4. 提交 git commit -m "feat: include package-lock.json for deterministic builds" ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值