Нужно ли добавлять в .gitignore package-lock.json?

Question

[WebDev]

Подскажите, нужно ли добавлять в .gitignore файл package-lock.json?
Вроде бы не нужно. Об этом много где написано, по умолчанию его нет в .gitignore, но когда я запускаю npm install на сервере, при следующем коммите вылазит ошибка "Your local changes to the following files would be overwritten by merge: package-lock.json"

Answer 1

[Руслан Лопатин]

Согласно официальной документации package-lock.json предназначен быть в репозитории, чтобы все разработчики проекта работали с одним и тем же набором зависимостей.

Относительно того, что его не нужно включать в код библиотек - неправда:

• Во-первых, когда выполняется npm publish, package-lock.json автоматически исключается из опубликованного пакета (проверьте командой npm archive, например)
  
• А во-вторых, package-lock.json используется только в корне проекта. В зависимостях он игнорируется. То есть в директории node_modules/your-dependency он может присутствовать невозбранно.
  

Ответ на ваш вопрос: никогда не добавляйте package-lock.json в .gitignore

Comments

[kafkiansky]

И это неправильный вывод. Вы много библиотек видели, которые публикуют package-lock.json? Я - нет.

[Руслан Лопатин]

Опубликовать package-lock.json невозможно. npm этого не допустит.
А если действительно нужно - то для этого есть npm-shrinkwrap.json. Но, как подчёркнуто в документации, его использование не рекомендуется. Разве что для CLI инструментов.

[Руслан Лопатин]

kafkiansky, Посмотрите, хотя бы, в репозиторий redux. Это библиотека. И package-lock.json в нём есть. Естественно, что он не публикуется, поскольку для этого не предназначен.

[kafkiansky]

Руслан Лопатин, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10.

В общем, как хотите, так и поступайте. Видимо, вы еще не сталкивались с проблемами, о которых идет речь под этим вопросом.

Answer 2

[Lynn «Кофеман»]

На сервере надо запускать npm ci

Если он чего-то не смог поставить, значит у вас неактуальный package-lock.json и нужно это исправлять.

Comments

[WebDev]

Не знал про это. Спасибо!

Answer 3

[kafkiansky]

Если библиотека, то нужно, чтобы пользователи вашей библиотеки всегда скачивали актуальные зависимости из package.json. Если проект, то не нужно, тогда те, кто пишут проект вместе с вами, будут использовать библиотеки, версии которых указаны в package-lock.json. Следственно, у них не будет конфликтов.

Comments

[Александр]

Не согласен. Всегда нужно игнорить,
На практике lock-файл часто приводит к ошибкам как в библиотеке, так и в проекте. Поэтому лучшим решением будет указывать конкретные версии зависимостей в package.json, отслеживая обновления через какой-нибудь dependency bot или самостоятельно, делая бамп в репу.
Lock файлы нужны чтобы управлять зависимостиями зависимостей, если вдруг что то пойдёт не так. Пусть он генерируется у разработчика.

[Lynn «Кофеман»]

Александр, не согласен.
Разработчик протестирует всё у себя, а когда будете выкатывать в прод какая-нибудь библиотека на третьем уровне зависимостей обновится и всё сломает. package-lock как раз нужен как защита от таких внезапных неконтролируемых обновлений

[Александр]

Алексей Тен, вообще, эту проблему решает CI + dependency bot.

[Robur]

Александр, Можно любых костылей нагородить, но зачем решать эту проблему как-то еще, когда есть специальный инструмент именно для нее?
может в npm и есть какие-то проблемы, а с yarn.lock все хорошо.

[Lynn «Кофеман»]

Александр, CI никак не решает проблему когда между тестированием и выкладкой обновился какой-то пакет и всё сломал

Answer 4

[Максим Мандрик]

Советуют использовать lock файл для приложений, но не для библиотек, потому что для пользователей библиотек файл lock игнорируется. И чтобы быть более приближённым к пользовательским окружениям этот файл не используется в репозиториях библиотек.

Более подробно:
https://github.com/sindresorhus/ama/issues/479#iss...