Почему npm устанавливает версии пакетов отличные от указанных в package-lock.json?

Question

[G F]

node -v
v17.2.0

npm -v
8.1.4

package.json

{
  "name": "untitled2",
  "version": "0.0.0",
  "private": true,
  "devDependencies": {
    "stylelint": "^14.1.0"
  }
}

npm i
npm list postcss

└─┬ stylelint@14.1.0
├─┬ postcss-safe-parser@6.0.0
│ └── postcss@8.4.4 deduped
└── postcss@8.4.4 (почему здесь версия 8.4.4 ???)

созданный package-lock.json

"node_modules/stylelint/node_modules/postcss": {
      "version": "8.4.4"
}

При этом в самом репозитории стайллинта (main branch release 14.1.0)
в package-lock.json версия postcss 8.3.11.
https://github.com/stylelint/stylelint/blob/fcd5ac...

Вот ссылка на package.json чтобы долго lock не грузить
https://github.com/stylelint/stylelint/blob/fcd5ac...

Откуда вообще npm берет 8.4.4?

Comments

[G F]

Вопрос даже не по конкретно этому одному случаю, а вообще. Если было у кого похожее поделитесь знаниями. Ибо я с таким первый раз сталкиваюсь, чего только не перепробовал и уже без понятия куда дальше копать.

[Lynn «Кофеман»]

Дальше копать в документацию конечно. Вообще-то раньше с неё начинали, но в последнее время этот навык явно утрачивается

[WbICHA]

G F, на будущее, если надо ставить из package-lock.json, то для этого есть команда npm ci.
npm i перезаписывает лок файл, а не использует его.

[G F]

блин я знаю про тильду но видимо я не знаю что значит latest compatible version. Если меняется апи и ломается код это считается compatible? ну судя по всему да

[Lynn «Кофеман»]

G F, semver описывает как должно быть. Как в реальности автор сломает API между патчами или наоборот будет поддерживать совместимость между мажорными версиями остаётся на совести автора.

Answer 1

[Виталий]

чтобы npm не пытался обновлять версии а собирал по лок файлу надо использовать команду npm ci

Comments

[G F]

попробую спасибо