package-lock.json[译]
已并入《前端依赖、lockfile 与可信构建》。
本文最初是对 npm package-lock.json 文档的翻译。npm lockfile 的格式和行为后来经历过多次演进,早期翻译已经不适合作为今天理解 npm 依赖管理的主要参考。
完整说明见:
保留这个页面,是为了让原链接仍然可访问。今天更值得关注的不是逐字段翻译 lockfile,而是它在工程流程中的位置:提交 lockfile、使用 npm ci 或 frozen install、把依赖变化纳入代码审查,并让 CI 和部署环境安装到同一棵依赖树。