OC
оО, так а чому при npm i міняється лок файл?
Size: a a a
2021 June 10
Вт
Скидывал статью выше буквально, работает с нпм
EO
потому что это нпм (извините)
AN
блин, но как то же они тут эту задачу решают.
или в амазоне никогда не ставят npm пакеты?
или в амазоне никогда не ставят npm пакеты?
EO
он на install лок файл всегда обновляет
AL
себе в проект ставишь в зависимости ту транзитивную, и указываешь ей разрешенную версию.
OC
зрозумів((( вже давно npm неюзав
AN
потому что npm i проверяет наличие файла в node_modules, проверяет доступные версии и ставит самую старшую если надо. а потом меняет лок файл.
если не надо этого делать — npm ci. он ставит то что в лок файле и ничего не проверяет.
если не надо этого делать — npm ci. он ставит то что в лок файле и ничего не проверяет.
AL
Дедубликатор дерева зависимостей в npm заюзает ту версию, которую ты укажешь, если она совместима по семверу
Вт
AN
Спасибо большое, но возникло недопонимание: мне нужно ставить конкретные версии пакетов.
С базой уязвимостей npm это не связано. Тут она своя.
С базой уязвимостей npm это не связано. Тут она своя.
npm audit fix после установки пакета я безусловно делаю.AN
спасибо, пойду смотреть
Вт
разные задачи, решение - одно
AN
если просто поставить — почему то не сработало.
вероятно, да, нужен дедуп.
Но мне бы не хотелось добавлять как зависимость проекта множество зависимостей непрямых. Как это чистить потом непонятно 🙁
вероятно, да, нужен дедуп.
Но мне бы не хотелось добавлять как зависимость проекта множество зависимостей непрямых. Как это чистить потом непонятно 🙁
AN
Хм … тогда я не понял решения.
Пойду прочту внимательно статью.
Или, возможно, ты мог бы развернуть мысль немного.
Я не понимаю как audit решит мою проблему
Пойду прочту внимательно статью.
Или, возможно, ты мог бы развернуть мысль немного.
Я не понимаю как audit решит мою проблему
OC
тобі просто от це треба
AL
npm dedupeAR
Стандартное поведение.
npm ci чтоб не менялоВт
решение - юзать force resolutions