惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

D
DataBreaches.Net
Apple Machine Learning Research
Apple Machine Learning Research
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
S
SegmentFault 最新的问题
博客园 - 聂微东
罗磊的独立博客
W
WeLiveSecurity
博客园_首页
Scott Helme
Scott Helme
V
Visual Studio Blog
T
The Exploit Database - CXSecurity.com
G
Google Developers Blog
大猫的无限游戏
大猫的无限游戏
Latest news
Latest news
L
Lohrmann on Cybersecurity
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
A
About on SuperTechFans
F
Full Disclosure
Y
Y Combinator Blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
博客园 - 司徒正美
博客园 - Franky
C
CXSECURITY Database RSS Feed - CXSecurity.com
F
Fortinet All Blogs
Blog — PlanetScale
Blog — PlanetScale
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
阮一峰的网络日志
阮一峰的网络日志
S
Schneier on Security
雷峰网
雷峰网
博客园 - 【当耐特】
P
Privacy International News Feed
C
Cyber Attacks, Cyber Crime and Cyber Security
Engineering at Meta
Engineering at Meta
aimingoo的专栏
aimingoo的专栏
MongoDB | Blog
MongoDB | Blog
J
Java Code Geeks
T
Tor Project blog
V
V2EX
爱范儿
爱范儿
C
Check Point Blog
T
Threatpost
Project Zero
Project Zero
量子位
V
Vulnerabilities – Threatpost
Know Your Adversary
Know Your Adversary
I
Intezer
G
GRAHAM CLULEY
P
Privacy & Cybersecurity Law Blog
GbyAI
GbyAI
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com

美团技术团队

美团 · 技术团队 美团 · 技术团队 美团 · 技术团队 美团 · 技术团队 美团 · 技术团队 美团 · 技术团队 美团发布基于 N-gram 全新模型:嵌入扩展新范式,实现轻量化 MoE 高效进化 2025美团技术年货,「马」上到来 多维创新打造强泛化智能体模型,LongCat-Flash-Thinking-2601技术报告发布 美团 EvoCUA 刷新开源 SOTA,会用电脑还会持续进化的智能体! 美团 LongCat-Flash-Thinking-2601 发布,工具调用能力登顶开源 SOTA! KuiTest:基于大模型通识的 UI 交互遍历测试 AAAI 2026 | 美团技术团队学术论文精选 2025 | 美团技术团队热门技术文章汇总 美团 LongCat-Video-Avatar 正式发布,实现开源 SOTA 级拟真表现 大模型剪枝新范式:先浓缩,再剪枝——DenoiseRotator技术解读 LongCat 上线 AI 生图!精准高效,AI 创作不设限 美团发布 LongCat-Image 图像生成模型,编辑能力登顶开源 SOTA AI Coding与单元测试的协同进化:从验证到驱动 R-HORIZON:探索长程推理边界,复旦NLP&美团LongCat联合提出LRMs能力评测新框架 美团 LongCat 发布 AMO-Bench:突破 AIME 评测饱和困境,重新定义 LLM 数学上限 美团 LongCat Interaction 团队发布大模型交互系统技术报告 WOWService 美团 LongCat 团队发布全模态一站式评测基准 UNO-Bench 美团开源LongCat-Audio-Codec,高效语音编解码器助力实时交互落地 NeurIPS 2025 | 美团技术团队论文精选 LongCat-Flash-Omni正式发布并开源:开启全模态实时交互时代 美团 LongCat 团队发布 VitaBench:基于复杂生活场景的交互式 Agent 评测基准 LongCat-Video 视频生成模型正式发布,探索世界模型的第一步 ICCV 2025 | 美团论文精选及多模态推理竞赛冠军方法分享 从0到1建设美团数据库容量评估系统 可验证过程奖励在提升大模型推理效率中的探索与实践 LongCat-Flash-Thinking 正式发布,更强、更专业,保持极速! 开源 | InfiniteTalk:无限长虚拟人视频生成的新范式 美团正式发布并开源 LongCat-Flash-Chat,动态计算开启高效 AI 时代 美团 M17 团队开源 Meeseeks 评测集:揭秘大模型的“听话”能力 可信实验白皮书系列08:开放式分析引擎 | 附PDF合集 美团智能头盔研发实践系列02:软件功能篇 美团智能头盔研发实践系列01:硬件设计篇 ACL 2025 | 美团技术团队论文精选 美团开源OIBench与CoreCodeBench:揭示大模型编程能力的真实水平 可信实验白皮书系列07:高阶实验工具 开源 | MeiGen-MultiTalk:基于单张照片实现多人互动演绎 可信实验白皮书系列06:观察性研究 JDK高版本特性总结与ZGC实践 可信实验白皮书系列05:准实验 可信实验白皮书系列04:随机轮转实验 可信实验白皮书系列03:随机对照实验 可信实验白皮书系列02:AB实验基础 可信实验白皮书系列01:从0到1的方法论与实践指南 MTGR:美团外卖生成式推荐Scaling Law落地实践 OR算法+ML模型混合推理框架架构演进 ICLR&CVPR 2025美团技术团队论文精选 行为正则化与顺序策略优化结合的离线多智能体学习算法 预测技术在美团弹性伸缩场景的探索与应用 美团技术年货 | 600+页电子书,算法、工程、测试、数据、安全系列大合集 鸿蒙应用签名实操及机制探究 2024 | 美团技术团队热门技术文章汇总 AutoConsis:UI内容一致性智能检测 CIKM 2024 | 美团技术团队精选论文解读 大前端:如何突破动态化容器的天花板? KDD 2024 OAG-Challenge Cup赛道三项冠军技术方案解读 新一代实验分析引擎:驱动履约平台的数据决策 大众点评技术部包揽KDD 2024 OAG-Challenge Cup赛道全部3项冠军 ACL 2024 | 美团技术团队精选论文解读 KDD 2024 | 美团技术团队精选论文解读 基本功 | 一文讲清多线程和多线程同步 小程序可测性能力建设与实践 SIGIR 2024 | 美团技术团队精选论文解读 Spark向量化计算在美团生产环境的实践 CVPR 2024 | 美团技术团队精选论文解读 基于多模态信息抽取的菜品知识图谱构建 DDD在大众点评交易系统演进中的应用 美团外卖基于GPU的向量检索系统实践 美团大规模KV存储挑战与架构实践 基于接口数据变异的App健壮性测试实践 美团技术年货 | 600+页电子书,前端、后端、算法、测试、运维系列大合集 美团RASP大规模研发部署实践总结 2023 | 美团技术团队热门技术文章汇总 美团到店终端从标准化到数字化的演进之路 AIOps在美团的探索与实践——事件管理篇 美团技术博客十周年,感谢一路相伴 基于UI交互意图理解的异常检测方法 如何利用「深度上下文兴趣网络」提升点击率? 基于模式挖掘的可靠性治理探索 代码变更风险可视化系统建设与实践 美团多场景建模的探索与实践 MJDK 如何实现压缩速率的 5 倍提升? 如何提供一个可信的AB测试解决方案 KDD 2023 | 美团技术团队精选论文解读 美团前端研发框架Rome实践和演进趋势 斩获CVPR 2023竞赛2项冠军|美团街景理解中视觉分割技术的探索与应用 MySQL自治平台建设的内核原理及实践(下) CVPR 2023 | 美团技术团队精选论文解读 超大规模数据库集群保稳系列之三:美团数据库容灾体系建设实践 超大规模数据库集群保稳系列之二:数据库攻防演练建设实践 Robust 2.0:支持Android R8的升级版热修复框架 超大规模数据库集群保稳系列之一:高可用系统 一次「找回」TraceId的问题分析与过程思考 基于AI+数据驱动的慢查询索引推荐 SOTA!目标检测开源框架YOLOv6 3.0版本来啦
使用 npm shrinkwrap 来管理项目依赖
敬威 · 2015-10-23 · via 美团技术团队

管理依赖是一个复杂软件开发过程中必定会遇到的问题。

在Node.js项目开发的时候,我们也经常需要安装和升级对应的依赖。虽然 npm 以及语意化的版本号 (semantic versioning, semver) 让开发过程中依赖的获取和升级变得非常容易, 但不严格的版本号限制,也带来了版本号的不确定性。主要的问题可能有三个:

  1. npm 建议使用 semver 的应用程序版本,但这也完全依赖第三方包遵守这一规则。如果你依赖于的包不遵循 semver ,或者依赖的包的新版本有重大更改(而你使用了 ^ 的宽泛版本安装),这潜在可能是会导致问题的。

  2. 另一个问题的出现是由于 npm 安装依赖的机制。npm 的安装包是有层次结构的,手动控制要安装的软件包的版本号可以实现,但是你只能在 package.json 使用精确的版本号控制你的直接依赖包,但那些多层以上的依赖就没办法控制了;一个第三方包不严谨的版本依赖生命可能破坏你的依赖管理。

  3. 在开发阶段执行得到的版本,和后续部署时得到的可能是不一致的,更不可控的是,你依赖的第三方包也有这样的情况会导致潜在的上线风险。

如果要控制上线的风险,我们就必需要解决这个问题,这时候,就需要使用 npm shrinkwrap 这个命令来解决问题。

npm shrinkwrap 可以按照当前项目 node_modules 目录内的安装包情况生成稳定的版本号描述。

比方说,有一个包 A

     {
       "name": "A",
       "version": "0.1.0",
       "dependencies": {
         "B": "<0.1.0"
       }
     }

还有一个包 B

     {
       "name": "B",
       "version": "0.0.1",
       "dependencies": {
         "C": "<0.1.0"
       }
     }

以及包 C

     {
       "name": "C",
       "version": "0.0.1"
     }

你的项目只依赖于 A,于是 npm install 会得到这样的目录结构

   A@0.1.0
     `-- B@0.0.1
         `-- C@0.0.1

这时候,B@0.0.2 发布了,这时候在一个新的环境下执行 npm install 将得到

 A@0.1.0
     `-- B@0.0.2
         `-- C@0.0.1

这时候两次安装得到的版本号就不一致了。而通过 shrinkwrap 命令,我们可以保证在所有环境下安装得到稳定的结果。

在项目引入新包的时候,或者 A 的开发者执行一下 npm shrinkwrap,可以在项目根目录得到一个 npm-shrinkwrap.json 文件。

这个文件内容如下

     {
       "name": "A",
       "version": "0.1.0",
       "dependencies": {
         "B": {
           "version": "0.0.1",
           "dependencies": {
             "C": {
               "version": "0.0.1"
             }
           }
         }
       }
     }

shrinkwrap 命令根据目前安装在node_modules的文件情况锁定依赖版本。在项目中执行 npm install 的时候,npm 会检查在根目录下有没有 npm-shrinkwrap.json 文件,如果 shrinkwrap 文件存在的话,npm 会使用它(而不是 package.json)来确定安装的各个包的版本号信息。

这样一来,在安装时候确定的所有版本信息会稳定的固化在 shrinkwrap 里。无论是A,B 和 C中的版本如何变化,或者它们的 package.json 文件如何修改,你始终能保证,在你项目中执行 npm install 的到的版本号时稳定的。

在开发中使用 shrinkwrap

在开发过程中,引入一个新包的流程如下

  1. npm install PACKAGE_NAME@VERSION --save 获取特定版本的包
  2. 测试功能
  3. 测试功能正常后,执行 npm shrinkwrap 把依赖写入 shrinkwrap 文件
  4. 在代码仓库中提交 shrinkwrap / package.json 描述

升级一个包的流程应该是这样

  1. npm outdated 获取项目所有依赖的更新信息
  2. npm install PACKAGE_NAME@VERSION --save 获取特定版本的包
  3. 测试功能
  4. 测试功能正常后,执行 npm shrinkwrap 把依赖写入 shrinkwrap 文件
  5. 在代码仓库中提交 shrinkwrap / package.json 描述

删除一个包的流程如下

  1. npm uninstall PACKAGE_NAME --save 删除这个包
  2. 测试功能
  3. 测试功能正常后,执行 npm shrinkwrap 把更新的依赖写入 shrinkwrap 文件
  4. 在代码仓库中提交 shrinkwrap / package.json 描述

比一般的安装多了一步手工生成 shrinkwrap 文件。在实际工作中,有时候我们会忘记这一步,导致上线时候没有获取到依赖包的特定版本。

去年我引入 shrinkwrap 工作流的时候,npm 官方的 shrinkwrap 命令还有很多问题,比如

  • 在生成版本描述的时候不会忽略 devDependencies 和 optionalDependencies
  • 不会检查 package.json 和 shrinkwrap 文件的差异
  • 不会删除 from 字段(这个字段没有用),导致在 diff 时候会出现多余的信息

所以我写了一个 bin/shrinkwrap 脚本。这个脚本会自动对比 package.json 和 npm-shrinkwrap.json 文件的区别,获取需要更新的版本,然后对相关信息进行更新。(更新:现在的 npm shrinkwrap 已经修复了很多的问题,但 from 字段有时候仍然有些小问题。)

当时为了忽略 devDependencies 和 optionalDependencies,我会执行 npm prune 删除额外的包之后才生成版本描述,然后再把其它的包装回来,导致脚本执行时间有点长。

后面 uber 发布了 npm-shrinkwrap 工具,可以更高效的生成版本描述。可惜这个包不支持 scoped package。我花了一点时间 patch 了这个工具,因为它们的发版太慢,所以我发布了一份 @th507/npm-shrinkwrap,可以支持 scoped package。

在上面这个包的基础上,我还写了另外一个小工具,叫做 npm-shrinkwrap-install,它可以无缝替换 npm install 的执行过程,让 shrinkwrap 文件的生成变得更自动。

安装

$ npm install npm-shrinkwrap-install

安装完成之后,有如下命令可以使用

安装依赖的命令 npm-install npm-i

删除依赖的命令 npm-unisntall npm-un npm-remove npm-rm npm-r

手工生成 shrinkwrap 描述 npm-shrinkwrap

在开发中使用 npm-install

引入新依赖包

  1. npm-install PACKAGE_NAME@VERSION --save 获取特定版本的包
  2. 测试功能
  3. 在代码仓库中提交 shrinkwrap / package.json 描述

npm-install 在运行时会对 package.json 中的依赖做校验,如果你直接修改 package.json 文件,或者是指定了一个非严格的版本号,在运行的时候都会做更新检查,防止遗漏。

值得注意的是,因为 npm-install 会进行依赖对比和校验,在安装新包的时候需要带上 –save 参数。否则,在自动更新 shrinkwrap 描述之前,脚本会自动移除多余的依赖包,导致你新安装的包被删除。

升级依赖包

  1. npm outdated 获取项目所有依赖的更新信息
  2. npm-install PACKAGE_NAME@VERSION --save 获取特定版本的包
  3. 测试功能
  4. 在代码仓库中提交 shrinkwrap / package.json 描述

package.json 文件中指定了一个非严格的版本号的依赖在运行 npm-install 的时候会做自动更新检查,无需指定版本号,如果你不希望进行自动更新,请在 package.json 中使用严格版本号。

删除依赖包

  1. npm-uninstall PACKAGE_NAME --save 删除这个包
  2. 测试功能
  3. 在代码仓库中提交 shrinkwrap / package.json 描述

可以看到,在实际使用中没有引入额外的流程,对开发者基本没有学习的负担。但仍然注意,不建议开发者执行 npm update 命令更新所有的依赖。

通过引入 shrinkwrap 文件,我们可以较好的管理项目的依赖关系,让上线变得更轻松。需要注意的是,尽管相关工具可以帮助你减化工作流程、可靠的分发依赖描述,但工具不能取代功能测试;每次升级依赖版本之后,我们仍然应该进行相关测试来确保项目能可靠的运行在该环境中。

如果使用 @th507/npm-shrinkwrap 或者 npm-shrinkwrap-install 有任何问题欢迎给我提 issue。

本文没有涉及如何优化上线前的安装过程,缩短依赖构建时间,这个问题留给专门的文介绍。