Npm (Node Package Manager) 是一种应用于 JavaScript 编程语言的包管理器,也是 Node.js 的 JavaScript 运行时环境的默认包管理器。
在一个项目中,其包依赖项列表保存在 package.json
文件中。每个已安装的包都被分配了一个版本号,一般由 三部分组成:major.minor.patch
。
major
表示非兼容的重大 API 改变minor
表示向后兼容的功能性改变patch
表示向后兼容的 bug 修正
默认情况下,npm 会安装最新的版本,并在版本号前面附加一个 ^
插入符号,如 “^15.2.0”。有这种插入符号的依赖项意味着至少要安装 15.2.0 的版本。
当存在一个更高的 major 版本时,它就可能被使用。比方说当时有了个 15.6.2,就会在安装时升级到该版本。
若你想更稳妥些,使用 ~
波浪号 的 “~15.2.0” 以表示只使用 patch 位更高的版本。当然,纯 “15.2.0” 将保证只使用该精确的版本号。语义化版本命名法的更多细节见 semver.org/ 。
迄今为止,一切顺利。
问题来了
斗转星移,依赖愈增。当你想升级所有包以获取新特性或是修正缺陷时,你会如何做呢?
首先你得确定最新版本是多少。这里有个 GitHub 上的例子:
{ "name": "npm_upgrading", "version": "1.0.0", "description": "A tutorial how to upgrade NPM packages", "main": "index.js", "scripts": { "test": "echo \"Error: no test specified\" && exit 1" }, "repository": { "type": "git", "url": "git+https://github.com/JenniferFuBook/npm_upgrading.git" }, "author": "Jennifer Fu", "license": "ISC", "bugs": { "url": "https://github.com/JenniferFuBook/npm_upgrading/issues" }, "homepage": "https://github.com/JenniferFuBook/npm_upgrading#readme", "dependencies": { "lodash": "~4.17.12", "prettier": "1.18.0", "react": "^15.2.0" } }
如果你在 VSCode 上安装过 “Version Lens” 的话,它将展示所有包的最新版本:
或者也可以使用 npm 命令行接口:npm outdated
- Current 即当前被安装的版本
- Wanted 是满足
package.json
中的 SemVer 范围的最大版本 - Latest 是该包在仓库中标记为 latest 的版本
- Location 是该包在所居于的依赖树中所在的位置
CLI 输出中的包颜色表示了过期等级。红色意味着匹配到了一个比 package.json
中定义的 SemVer 需求还要新的已安装版本;黄色表示仓库中有比 SemVer 需求更新的版本。
在上例中,lodash
并未过期,因此没有被列出。同时,Prettier
在 minor 位落后于最新版本了,而 React
是在 major 位。
如果依赖项被修改为这样:
红色标记将会凸显 Lodash
和 Prettier
:
解决之道
在找出过期包之后,我们修正 package.json
中相关的版本规格。而后可以运行 npm install
或 npm update
以升级。
npm install
会安装一个包及其依赖的任何包。如果该包中存在package-lock
或shrinkwrap
文件(在并存时后者优先级更高),将会按其进行依赖项安装。npm update
会更新依赖项列表中出现的所有包,同时也会安装缺失的包。
二者的区别是什么呢?
首先,如果已安装的包版本满足 package.json
中定义的 SemVer 规格,则 npm install
会以模糊版本策略忽略掉它,并不会重新安装;而 npm update
则仍会(译注:在符合 SemVer 规格的前提下)将其升级到对应的最新 latest 版本。
译注:比如成文时 lodash 库的最新版本是 4.17.15
,假设已安装版本为 4.17.14
,则运行 npm install
后不会有任何变化,而 npm update
会将其升级到 4.17.15
。
同时,对 devDependencies
的处理也是不同的:
npm install
会安装或升级devDependencies
,除非添加了--production
标记npm update
会忽略devDependencies
,除非添加了--dev
标记
太概念化了是吧?来举个例子,我们把 Prettier 的版本从 “1.18.0” 改成 “~1.18.0”:
如果运行 npm install
,Prettier 的版本就是足够“模糊”的,以致 package-lock.json
中会保留原来的 “1.18.0”:
运行 npm ls
也能看到:
然而运行 npm update
后,package-lock.json
中 Prettier 的版本则会升级到 “1.8.2”:
npm ls
的输出同样也更新了:
此外,Prettier 的波浪号式依赖也被改为插入号式了!
更优方案
如前所述,如果 SemVer 规格使用了波浪号式版本声明,即便是 npm update
也不会直接升级其 major 位版本号。在主版本变动频繁并带来破坏性改变的情形下,这种 update 策略是很有意义的,同时需要谨慎对待。
那么,如果就是想升级 major 版本该如何呢?
使用 VSCode 中的 Version Lens
插件时,我们可以据其提示手动更新依赖包的 major 版本。另外一个强大的工具是 npm-check-updates
,会自动化地完成同样的工作;该 npm 工具可以被全局化安装:
npm install -g npm-check-updates
然后运行:ncu -u
现在,package.json
中的依赖项就被升级到最新了,包括 major 位的更新:
剩下的就简单了。运行 npm install
或 npm update
以完成升级。
谨慎使用 npm-check-updates
-- 毕竟,能力越大责任越大。