Почему пакеты для Laravel не содержат composer.lock?

Question

[feycot]

К примеру
https://github.com/LaravelCollective/html
https://github.com/barryvdh/laravel-debugbar

Почему lock файл не добавляется в репозиторий?

Comments

[Максим Федоров]

Давай представим такую ситуацию:
20 пакетов, и у каждого свой лок-файл, с указанием на конкретный коммит одного сервиса. При этом в рамках одной версии без конфликта.
Какой ставить? :)

[feycot]

Максим Федоров, у каждого пакета своя версия зависимостей.
Или это не работает?

Answer 1

[Daria Motorina]

Потому что это пакеты (стороннее переиспользуемое решение), а не конечный код.
Здесь composer.json для того, чтобы описать зависимости и требования самого пакета.

Comments

[feycot]

Как тогда можно удостовериться, что установится то, что нужно и ничего случайно не сломается обновлением?
Разве не эту задачу решает lock файл?

[Дмитрий]

feycot, ну если указана версия , то та и поставится, значит разработчик разрешил обновление

[Daria Motorina]

feycot, дополню Димин ответ - если у пакета правильно указана версия зависимости ( особенно, если она в пределах минорной, нп. 1.*), то не должно быть ломающих обновлений, ломающие обновления могут быть в мажорных версиях (нп. в ограничение >= 1.1 попадет и версия 1.1.1, и 1.2, и 2.0), потому что мажорная версия не обязана гарантировать обратную совместимость

[feycot]

Т.е. все-таки это регулируется на уровне соглашений? "Давайте не будем ломать друг другу код"?

[Daria Motorina]

feycot, соглашения есть, почитайте детали версионирования в документации композера. У пакета всегда есть master версия, которая обязана быть стабильной

[feycot]

Понял, т.е. мы просто говорим, что наш пакет использует такие-то зависимости и они могут обновляться до такой-то версии, но жестко их не фиксирует. Потому что эти же зависимости могут в другом месте и подтягивается побходящая для всех.

Я прав?

[Daria Motorina]

feycot, да