কেন "এনপিএম ইনস্টল" প্যাকেজ-লক.জসন পুনর্লিখন করে?

আমি সম্প্রতি এনপিএম @ 5 এ আপগ্রেড করেছি । আমি এখন একটি আছে প্যাকেজ-lock.json থেকে সবকিছু সাহায্যে ফাইল package.json । আমি প্রত্যাশা করব, যখন আমি চালাচ্ছি npm installযে আমার নোড_মডিউল ডিরেক্টরিতে কী ইনস্টল করা উচিত তা নির্ধারণের জন্য লক ফাইল থেকে নির্ভরতা সংস্করণগুলি টানতে হবে । আশ্চর্যের বিষয় হ'ল এটি আসলে আমার প্যাকেজ-লক.জসন ফাইলটি সংশোধন ও পুনর্লিখন শেষ করে ।

উদাহরণ হিসেবে বলা যায়, লক ফাইল টাইপ করা বিষয় সংস্করণ এ হতে নিদিষ্ট ছিল 2.1.6 । তারপরে, npm installকমান্ডের পরে , সংস্করণটি 2.4.1 এ পরিবর্তন করা হয়েছিল । এটি লক ফাইলের পুরো উদ্দেশ্যকে পরাস্ত করে বলে মনে হচ্ছে।

আমি কী মিস করছি? আমি আমার লক ফাইলটিকে সম্মান জানাতে কীভাবে এনপিএম পাব?

আপডেট 3: অন্যান্য উত্তরগুলিও উল্লেখ করে, npm ciসিআই প্রসঙ্গে দ্রুত এবং পুনরুত্পাদনযোগ্য বিল্ডগুলি অর্জনের অতিরিক্ত উপায় হিসাবে কমান্ডটি এনএমপি 5.7.0 এ প্রবর্তিত হয়েছিল। আরও তথ্যের জন্য ডকুমেন্টেশন এবং এনপিএম ব্লগ দেখুন ।

আপডেট 2: ডকুমেন্টেশন আপডেট এবং স্পষ্ট করার বিষয়টি হ'ল গিটহাব ইস্যু # 18103 ।

আপডেট 1: নীচে বর্ণিত আচরণটি এনপিএম 5.4.2 এ সংশোধন হয়েছে: বর্তমানে ইচ্ছাপূর্ণ আচরণটি গিটহাব ইস্যু # 17979 তে বর্ণিত হয়েছে ।

আসল উত্তর: # 16866 ইস্যুতে আলোচিত হিসাবে 5.1.0package-lock.json এ এনপিএম এর আচরণ পরিবর্তন করা হয়েছিল । আপনি যে আচরণটি পর্যবেক্ষণ করেছেন তা আপাতত সংস্করণ 5.1.0 সংস্করণ হিসাবে এনপিএম দ্বারা উদ্দিষ্ট।

এর অর্থ এটি যখনই কোনও নির্ভরতার জন্য নতুন সংস্করণটি খুঁজে পায় তখন package.jsonওভাররাইড করতে পারে । আপনি যদি নিজের নির্ভরশীলতাগুলি কার্যকরভাবে পিন করতে চান তবে আপনাকে এখন অবশ্যই উপসর্গ ব্যতীত সংস্করণগুলি নির্দিষ্ট করতে হবে, উদাহরণস্বরূপ, আপনাকে সেগুলি এর পরিবর্তে বা লিখতে হবে । তারপর সমন্বয় এবং পুনরায় উত্পাদন তৈরী করে উত্পাদ হবে। পরিষ্কার হতে: একা আর মূল স্তরের নির্ভরতা লক করে না!package-lock.jsonpackage.json1.2.0~1.2.0^1.2.0package.jsonpackage-lock.jsonpackage-lock.json

এই নকশার সিদ্ধান্তটি ভাল ছিল বা তর্কযোগ্য নয়, # 17979 ইস্যুতে গিটহাবের উপর এই বিভ্রান্তির ফলে চলমান আলোচনা চলছে । (আমার দৃষ্টিতে এটি একটি সন্দেহজনক সিদ্ধান্ত; কমপক্ষে নামটি lockআর সত্য হয় না))

আরও একটি পার্শ্ব দ্রষ্টব্য: এমন রেজিস্ট্রিগুলির ক্ষেত্রেও নিষেধাজ্ঞা রয়েছে যা অপরিবর্তনীয় প্যাকেজগুলিকে সমর্থন করে না, যেমন আপনি যখন এনএমপিজেএস.আর.র পরিবর্তে সরাসরি গিটহাব থেকে প্যাকেজগুলি টানেন। আরও ব্যাখ্যার জন্য প্যাকেজ লকের এই ডকুমেন্টেশনটি দেখুন ।

আমি দেখেছি যে, সেখানে npm এর একটি নতুন সংস্করণ হবে 5.7.1 নতুন আদেশের সঙ্গে npm ci, যা থেকে ইনস্টল করবে package-lock.jsonশুধুমাত্র

নতুন এনপিএম সিআই কমান্ডটি কেবলমাত্র আপনার লক-ফাইল থেকে ইনস্টল করে। যদি আপনার প্যাকেজ.জসন এবং আপনার লক-ফাইল সিঙ্কের বাইরে চলে যায় তবে এটি একটি ত্রুটির প্রতিবেদন করবে।

এটি আপনার নোড_মডিউলগুলি ফেলে দিয়ে এবং এটিকে স্ক্র্যাচ থেকে পুনরুদ্ধার করে কাজ করে।

আপনার গ্যারান্টি ছাড়াই যে আপনি কেবলমাত্র আপনার লক-ফাইলে যা পেয়েছেন তা এনপিএম ইনস্টল করার চেয়েও দ্রুত (2x-10x!) পাবেন যখন আপনি কোনও নোড_মডিউলগুলি শুরু করবেন না।

আপনি যেমন নামটি নিতে পারেন, আমরা আশা করি এটি অবিচ্ছিন্ন ইন্টিগ্রেশন পরিবেশের জন্য বড় বরকত হবে। আমরা আরও আশা করি যে গিটি ট্যাগগুলি থেকে প্রযোজনা করেন লোকেরা বড় লাভ দেখতে পাবেন।

সদ্য চালু হওয়া ব্যবহার করুন

npm ci

এনপিএম সিআই বড় দলগুলিকে সর্বাধিক উপকারের প্রতিশ্রুতি দেয়। বিকাশকারীদের একটি প্যাকেজ লকটিতে "সাইন অফ" করার দক্ষতা প্রদান করা বড় দলগুলিতে আরও দক্ষ সহযোগিতার প্রচার করে এবং একটি লকফায়ালে ঠিক কী ইনস্টল করার দক্ষতা থাকে প্রতি মাসে কয়েকশ বিকাশকারী ঘন্টা না থাকলে দশকে বাঁচানোর সম্ভাবনা রয়েছে, দলকে মুক্ত করে বিল্ডিং এবং আশ্চর্যজনক জিনিস শিপিং আরও সময় ব্যয়।

npm ciদ্রুত, আরও নির্ভরযোগ্য বিল্ডগুলির জন্য উপস্থাপন করা হচ্ছে

সংক্ষিপ্ত উত্তর:

• npm install প্যাকেজ-লক.জসনকে কেবল সম্মান জানানো হয় যদি এটি প্যাকেজ.জসনের প্রয়োজনীয়তা পূরণ করে।
• যদি এটি প্রয়োজনীয়তাগুলি পূরণ করে না, প্যাকেজগুলি আপডেট হয়ে গেছে এবং প্যাকেজ-লকটি ওভাররাইট করা হয়েছে।
• যদি আপনি এটির পরিবর্তে প্যাকেজ-লকটি পুনরায় লেখার চেয়ে বিল্ডটি ব্যর্থ করেন তবে তা ব্যবহার করুন npm ci।

এখানে এমন একটি দৃশ্য রয়েছে যা জিনিসগুলি ব্যাখ্যা করতে পারে (এনপিএম 6.3.0 দিয়ে যাচাই করা হয়েছে)

আপনি প্যাকেজ.জসনের উপর নির্ভরতা ঘোষণা করেন:

"depA": "^1.0.0"

তারপরে আপনি এটি করুন npm installযা প্যাকেজ-লক.জসন এর সাথে উত্পন্ন করবে:

"depA": "1.0.0"

কয়েক দিন পরে, "DepA" এর একটি নতুন গৌণ সংস্করণ প্রকাশিত হয়েছে, "1.1.0" বলুন, তারপরে নিম্নলিখিতটি সত্য রাখে:

npm ci       # respects only package-lock.json and installs 1.0.0

npm install  # also, respects the package-lock version and keeps 1.0.0 installed 
             # (i.e. when package-lock.json exists, it overrules package.json)

এরপরে, আপনি নিজের প্যাকেজটি ম্যানুয়ালি আপডেট করুন: জসন:

"depA": "^1.1.0"

তারপরে পুনরায় চালু করুন:

npm ci      # will try to honor package-lock which says 1.0.0
            # but that does not satisfy package.json requirement of "^1.1.0" 
            # so it would throw an error 

npm install # installs "1.1.0" (as required by the updated package.json)
            # also rewrites package-lock.json version to "1.1.0"
            # (i.e. when package.json is modified, it overrules the package-lock.json)

এর npm ciপরিবর্তে কমান্ডটি ব্যবহার করুন npm install।

"সিআই" এর অর্থ "ক্রমাগত সংহতকরণ"।

এটি লেন্সিয়েন্ট প্যাকেজ.জসন ফাইল নির্ভরতার পরিবর্তে প্যাকেজ-লক.জসন ফাইলের ভিত্তিতে প্রকল্প নির্ভরতা ইনস্টল করবে।

এটি আপনার দলের সতীর্থদের জন্য অভিন্ন বিল্ড তৈরি করবে এবং এটি আরও দ্রুত।

আপনি এই ব্লগ পোস্টে এটি সম্পর্কে আরও পড়তে পারেন: https://blog.npmjs.org/post/171556855892/introducing-npm-ci-for-fاس ter- আরো- নির্ভরযোগ্য

ভবিষ্যতে, আপনি কোনও --from-lock-file(বা অনুরূপ) পতাকাটি পরিবর্তন না করে কেবল ইনস্টল করতে ব্যবহার করতে সক্ষম হবেন package-lock.json।

এটি সিআই ইত্যাদির পরিবেশের জন্য দরকারী যেখানে প্রজননযোগ্য বিল্ডগুলি গুরুত্বপূর্ণ।

বৈশিষ্ট্যটি ট্র্যাক করার জন্য https://github.com/npm/npm/issues/18286 দেখুন ।

এটি প্রদর্শিত হচ্ছে এনপিএম v5.4.2 এ স্থির করা হয়েছে

https://github.com/npm/npm/issues/17979

(থ্রেডের শেষ মন্তব্যে স্ক্রোল করুন)

হালনাগাদ

প্রকৃতপক্ষে 5.6.0 এ স্থির। 5.4.2 এ একটি ক্রস প্ল্যাটফর্ম বাগ ছিল যা সমস্যাটি এখনও দেখা দেওয়ার কারণ ছিল।

https://github.com/npm/npm/issues/18712

আপডেট 2

আমার উত্তরটি এখানে দেখুন: https://stackoverflow.com/a/53680257/1611058

npm ci এখন বিদ্যমান প্রকল্পগুলি ইনস্টল করার সময় আপনার যে আদেশটি ব্যবহার করা উচিত তা হ'ল।

আপনার কাছে সম্ভবত এমন কিছু রয়েছে:

"typescript":"~2.1.6"

আপনার package.jsonযা সর্বশেষ গৌণ সংস্করণে আপডেট npm, আপনার ক্ষেত্রে হচ্ছে2.4.1

সম্পাদনা: ও.পি. থেকে প্রশ্ন

তবে এটি ব্যাখ্যা করে না যে "এনপিএম ইনস্টল" কেন লক ফাইলটি পরিবর্তন করবে। লক ফাইলটি কি পুনরুত্পাদনযোগ্য বিল্ড তৈরির উদ্দেশ্যে নয়? যদি তা হয় তবে সেমভার মান নির্বিশেষে এটি একই 2.1.6 সংস্করণটি ব্যবহার করা উচিত।

উত্তর:

এটি আপনার সম্পূর্ণ নির্ভরশীলতা গাছটি লক করার উদ্দেশ্যে is এর typescript v2.4.1প্রয়োজন বলা যাক widget ~v1.0.0। আপনি যখন এনপিএম ইনস্টল করেন তখন এটি দখল করে widget v1.0.0। পরবর্তীতে আপনার সহকর্মী ডেভেলপার (অথবা সি আই বিল্ড) একটি npm ইনস্টল এবং পায় না typescript v2.4.1কিন্তু widgetআপডেট করা হয়েছে widget v1.0.1। এখন আপনার নোড মডিউলটি সিঙ্কের বাইরে। এটিই package-lock.jsonবাধা দেয়।

বা আরও সাধারণভাবে:

উদাহরণ হিসাবে বিবেচনা করুন

প্যাকেজ এ:

{"নাম": "এ", "সংস্করণ": "0.1.0", "নির্ভরতা": {"বি": "<0.1.0"}

প্যাকেজ বি:

{"নাম": "বি", "সংস্করণ": "0.0.1", "নির্ভরতা": {"সি": "<0.1.0"}

এবং প্যাকেজ সি:

{"নাম": "সি", "সংস্করণ": "0.0.1"}

এগুলি যদি এ, বি, এবং সি এর একমাত্র সংস্করণগুলি রেজিস্ট্রিতে উপলব্ধ থাকে তবে একটি সাধারণ এনপিএম ইনস্টল এ ইনস্টল করবে:

এ @ ০.০.০ - বি@০.০.১ - সি @ ০.০.১

তবে, যদি B@0.0.2 প্রকাশিত হয়, তবে একটি নতুন এনএমপি ইনস্টল এ ইনস্টল করবে:

A@0.1.0 - B@0.0.2 - C@0.0.1 ধরে নেওয়া নতুন সংস্করণ বি এর নির্ভরতা পরিবর্তন করে নি। অবশ্যই, বি এর নতুন সংস্করণে সি এর নতুন সংস্করণ এবং যে কোনও সংখ্যক নতুন নির্ভরতা অন্তর্ভুক্ত থাকতে পারে। যদি এই ধরনের পরিবর্তনগুলি অনাকাঙ্ক্ষিত হয় তবে A এর লেখক B@0.0.1 এর উপর নির্ভরতা নির্দিষ্ট করতে পারে। তবে, যদি এ এর ​​লেখক এবং বি এর লেখক একই ব্যক্তি না হন তবে এ এর ​​লেখকের পক্ষে বলার উপায় নেই যে বি বা কিছুটা পরিবর্তন না হয়ে গেলে সে সি এর নতুন প্রকাশিত সংস্করণগুলিতে টানতে চায় না।

ওপি প্রশ্ন 2: সুতরাং আমি সঠিকভাবে বুঝতে পারি কিনা তা আমাকে দেখতে দিন। আপনি যা বলছেন তা হ'ল লক ফাইলটি গৌণ নির্ভরতাগুলির সংস্করণগুলি নির্দিষ্ট করে তবে শীর্ষ স্তরের নির্ভরতা নির্ধারণের জন্য প্যাকেজ.জসনের সাথে অস্পষ্ট মিলের উপর নির্ভর করে। এটা কি সঠিক?

উত্তর: নং প্যাকেজ-লকটিতে বর্ণিত মূল প্যাকেজগুলি সহ পুরো প্যাকেজ ট্রিটিকে লক করে package.json। যদি আপনার typescriptলক থাকে তবে এটি পরিবর্তন না হওয়া অবধি এটি থাকা উচিত। এবং আগামীকাল সংস্করণ প্রকাশের সংস্করণ বলতে দিন । আমি যদি আপনার শাখাটি চেকআউট করে চালিত করি , এনপিএম লকফিলকে সম্মান করবে এবং ইনস্টল করবে ।2.4.1package-lock.jsontypescript2.4.2npm install2.4.1

আরও চালু package-lock.json:

প্যাকেজ-লক.জসন স্বয়ংক্রিয়ভাবে এমন কোনও ক্রিয়াকলাপের জন্য উত্পন্ন হয় যেখানে এনপিএম নোড_মডিউল গাছ বা প্যাকেজ.জসনকে সংশোধন করে। এটি সঠিক গাছ যা উত্পন্ন হয়েছিল তা বর্ণনা করে, যেমন পরবর্তী ইনস্টলেশনগুলি মধ্যবর্তী নির্ভরতা আপডেটগুলি নির্বিশেষে অভিন্ন গাছ উত্পন্ন করতে সক্ষম হয়।

এই ফাইলটি উত্স ভাণ্ডারগুলিতে প্রতিশ্রুতিবদ্ধ হওয়ার উদ্দেশ্যে এবং বিভিন্ন উদ্দেশ্যে পরিবেশন করা হয়েছে:

নির্ভরতা গাছের একক উপস্থাপনা বর্ণনা করুন যেমন সতীর্থ, মোতায়েন এবং অবিচ্ছিন্ন একীকরণ ঠিক একই নির্ভরতা ইনস্টল করার গ্যারান্টিযুক্ত।

ব্যবহারকারীদের ডিরেক্টরি নষ্ট না করেই নোড_মডিউলগুলির পূর্ববর্তী রাজ্যে "সময়-ভ্রমণ" করার জন্য একটি সুবিধা সরবরাহ করুন।

পাঠযোগ্য উত্স নিয়ন্ত্রণ নিয়ন্ত্রণের মাধ্যমে গাছের পরিবর্তনের বৃহত্তর দৃশ্যমানতার সুবিধার্থে।

পূর্ববর্তী ইনস্টল করা প্যাকেজগুলির জন্য পুনরাবৃত্ত মেটাডেটা রেজোলিউশনগুলি এড়িয়ে যাওয়ার জন্য এনপিএমকে অনুমতি দিয়ে ইনস্টলেশন প্রক্রিয়াটি অনুকূলকরণ করুন।

https://docs.npmjs.com/files/package-lock.json

সম্ভবত আপনার এই জাতীয় কিছু ব্যবহার করা উচিত

npm ci

npm install আপনি যদি আপনার প্যাকেজের সংস্করণ পরিবর্তন করতে না চান তা ব্যবহার করার পরিবর্তে ।

সরকারী ডকুমেন্টেশন মতে, উভয় npm installএবং npm ciনির্ভরতা যা প্রকল্পের জন্য প্রয়োজন হয় ইনস্টল করুন।

মূল পার্থক্যটি হ'ল, npm installপ্যাকেজগুলি packge.jsonরেফারেন্স হিসাবে গ্রহণ করে install যেখানে এর ক্ষেত্রে npm ciএটি package-lock.jsonপ্রতিটি সময় সঠিক প্যাকেজ ইনস্টল হওয়ার বিষয়টি নিশ্চিত করে প্যাকেজগুলি রেফারেন্স হিসাবে গ্রহণ করে।

তাদের গিথুব পৃষ্ঠায় এটির জন্য একটি উন্মুক্ত সমস্যা রয়েছে: https://github.com/npm/npm/issues/18712

এই সমস্যাটি তখন সবচেয়ে মারাত্মক হয় যখন বিকাশকারীরা বিভিন্ন অপারেটিং সিস্টেম ব্যবহার করেন।

সম্পাদনা: "লক" নামটি একটি চতুর, এটির এনপিএম সুতোর সাথে ধরা চেষ্টা করছে। এটি কোনও লক করা ফাইল নয়। package.jsonব্যবহারকারী-ফিক্সড ফাইল, এটি একবার "ইনস্টল" নোড_মডিউলগুলি ফোল্ডার ট্রি তৈরি করবে এবং সেই গাছটি তখন লেখা থাকবে package-lock.json। সুতরাং আপনি দেখুন, এটি অন্য উপায়ে - নির্ভরতা সংস্করণগুলি package.jsonবরাবরের মতো থেকে টানা হবে , এবং কল করা package-lock.jsonউচিতpackage-tree.json

(আশা করি এগুলি আমার উত্তরকে আরও স্পষ্ট করে দিয়েছে, এতগুলি নিম্নগতির পরে)

একটি সরল উত্তর: package.jsonযথারীতি আপনার নির্ভরতা রাখুন, যখন package-lock.json"সঠিক এবং আরও গুরুত্বপূর্ণভাবে পুনরুত্পাদনযোগ্য নোড_মডিউল গাছ" ( এনপিএম ডক্স থেকে নেওয়া ) taken

ছদ্মবেশী নাম হিসাবে, এর এনপিএম সুতোর সাথে ধরা চেষ্টা করছে।