yarn.lock 和 npm 的 package-lock 有啥区别？

Posted 2023-03-07

【中文标题】yarn.lock 和 npm 的 package-lock 有啥区别？

【英文标题】：What is the difference between yarn.lock and npm's package-lock?yarn.lock 和 npm 的 package-lock 有什么区别？

【发布时间】：2017-12-07 10:03:05

【问题描述】：

我不小心在一个使用 Yarn 的项目中运行了npm install，并注意到 npm 创建了一个package-lock.json 文件。

我知道 Yarn 受欢迎的部分原因是它使用锁文件来生成比 npm 更可靠和确定性的依赖安装，npm 有一段时间只有一个残废的shrinkwrap feature，但现在我不知道该做什么关于这个 npm 锁定文件业务，以及继续使用 Yarn 是否有什么令人信服的地方。

因此，本着previous Q and A on *** on yarn vs shrinkwrap 的精神，我提出以下问题：

这两个包管理器在可靠性方面是否存在任何实质性差异？ 如果没有，除了“更多表情符号。????”之外，还有什么令人信服的理由继续使用 Yarn？

【问题讨论】：

yarnpkg.com/blog/2017/05/31/determinism 可能会有所帮助。看起来 npm 5 在这方面几乎达到了与 yarn 的同等水平。

【参考方案1】：

在纸面上，Yarn 和 NPM 5 看起来几乎相同。它们都具有确定性锁定文件，并且在功能上几乎相互匹配。有人会说 Yarn 是 NPM 创新的催化剂。

但是，在体验了 NPM 5 一个月后，我的团队决定迁移到 Yarn。

NPM 在技术上具有“更具确定性”的锁定文件，因为理论上可以保证跨 NPM 版本，NPM 将生成完全相同的node_modules 文件夹。另一方面，Yarn 对依赖项的确切提升/排序取决于 Yarn 版本，并且可能会随着 Yarn 版本而改变。一般来说，这几乎没有影响。

那为什么要使用 Yarn？合并和可靠性。

Yarn 做出了轻微的确定性权衡，以实现更简单的yarn.lock 文件，更容易合并。如果你是一个单独的开发者，这可能不会影响你，但如果你在一个有多个协作者提交依赖项更改的团队中，它很快就会成为一个大问题。 NPM 的package-lock 实际上是不可合并的，你最终不得不重新生成或挣扎。另一方面，使用 Yarn，合并变得容易且可预测。

见：https://yarnpkg.com/blog/2017/05/31/determinism/

附带说明，我们还发现 Yarn 平均而言更可靠。

【讨论】：

关于合并，我不知道我是否同意使用 yarn.lock 这样做的“简单性”。几周前我遇到了这个问题，发现了这个对话，它基本上说，你应该再生，但要以特定的方式去做。 github.com/yarnpkg/yarn/issues/1776#issuecomment-269539948

我的经验基本上与这个答案相反，所以我认为这主要是个人意见。合并yarn.lock 基本上是不可能的，因为不同的开发人员获得了截然不同的锁定文件。 @jktravis 建议的工作流似乎是 Yarn 和 NPM 锁定文件的唯一可靠方法，两者大致相同。这个答案似乎并没有真正给出任何具体的答案，但链接很有趣。