【声明】本博客所有内容均为个人业余时间创作所述技术案例均来自公开开源项目如GithubApache基金会不涉及任何企业机密或未公开技术如有侵权请联系删除背景上篇 blog【Agent】【OpenCode】项目配置package.json分析了package.json提到package.json是 Node.js 和前端项目的身份证和核心配置文件该文件位于项目根目录下作用有记录项目的基本信息管理依赖包最核心的功能之一其中依赖包有两种类型dependencies生产依赖和devDependencies开发依赖里面还可以配置快捷脚本命令 scripts把复杂的命令行操作变成一键执行的快捷方式并提供其他工程化配置另外package.json既可以由开发者手动更新也会被包管理器自动更新分析了运行bun install虽然没有指定新包但因为 Bun 会进行 JSON 格式化与键值排序也会导致package.json的修改并说明该修改是无害的下面继续分析OpenCode上篇 blog 提到了package.json和bun.lock的区别其中package.json定义了项目允许安装的版本范围以提供灵活性而bun.lock则锁定了实际安装的精确版本和依赖树确保团队环境的一致性下面就这个点详细展开下在devDependencies和dependencies中依赖的软件包后面会跟着一串数字当后面是纯数字的精确版本号时比如上面的babel/core: 7.28.4那么就代表只允许安装这个绝对精确的版本没有任何范围可言但在真实的开发中写死一个绝对的版本号会大大降低package.json的灵活性所以开发者通常会在版本号前面加上特定的符号比如^或~来约束版本范围结合语义化版本控制SemVer 规范也就是【主版本号.次版本号.补丁版本号】MARJOR.MINOR.PATCH常见的范围规则如下插入符^Caret允许更新次版本和补丁版本这也是 Npm 等包管理器在安装依赖时的默认行为表示可以自动花去新功能和 Bug 修复但不会引入破坏性变更比如express:^4.18.2实际范围npm 会安装≥ 4.18.2但 5.0.0的最新版本比如4.19.04.99.99都可以但不会升级到5.0.0及以上波浪号~Tilde仅允许更新补丁版本代表希望获得最大程度的稳定性只愿意接受纯粹的 Bug 修复比如lodash:~4.17.21实际范围npm 会安装≥ 4.17.21但 4.18.0的最新版本比如4.17.22可以但不会升级到4.18.0无符号精确锁定版本不加任何前缀意味着拒绝一切自动升级比如moment:2.29.4实际范围永远只安装2.29.4灵活性的意义如果所有依赖都写死精确版本一旦某个库修复了一个严重的安全漏洞并发布了新版本开发者就必须手动去修改package.json里的版本号然后重新安装而有了^或~用户只需要执行一次npm update包管理器就能在安全范围内把底层的依赖包更新到最新版本核心保障Lock 文件有人可能会担心既然package.json里面的版本是个范围那么今天装的是4.18.2明天同事拉取代码装成了4.19.0导致环境不一致怎么办这就涉及到bun.lock文件存在的意义了package.json负责声明允许什么版本范围而 Lock 文件则会像一个快照一样实时锁定当前实际安装的精确版本号只要团队里大家都基于同一个 Lock 文件安装无论package.json里规定的范围有多宽最终每个人电脑上运行的都是完全一模一样的环境OK本篇先到这里如有疑问欢迎评论区留言讨论祝各位功力大涨技术更上一层楼更多内容见下篇 blog
114、【Agent】【OpenCode】项目配置(package.json 和 bun.lock)
【声明】本博客所有内容均为个人业余时间创作所述技术案例均来自公开开源项目如GithubApache基金会不涉及任何企业机密或未公开技术如有侵权请联系删除背景上篇 blog【Agent】【OpenCode】项目配置package.json分析了package.json提到package.json是 Node.js 和前端项目的身份证和核心配置文件该文件位于项目根目录下作用有记录项目的基本信息管理依赖包最核心的功能之一其中依赖包有两种类型dependencies生产依赖和devDependencies开发依赖里面还可以配置快捷脚本命令 scripts把复杂的命令行操作变成一键执行的快捷方式并提供其他工程化配置另外package.json既可以由开发者手动更新也会被包管理器自动更新分析了运行bun install虽然没有指定新包但因为 Bun 会进行 JSON 格式化与键值排序也会导致package.json的修改并说明该修改是无害的下面继续分析OpenCode上篇 blog 提到了package.json和bun.lock的区别其中package.json定义了项目允许安装的版本范围以提供灵活性而bun.lock则锁定了实际安装的精确版本和依赖树确保团队环境的一致性下面就这个点详细展开下在devDependencies和dependencies中依赖的软件包后面会跟着一串数字当后面是纯数字的精确版本号时比如上面的babel/core: 7.28.4那么就代表只允许安装这个绝对精确的版本没有任何范围可言但在真实的开发中写死一个绝对的版本号会大大降低package.json的灵活性所以开发者通常会在版本号前面加上特定的符号比如^或~来约束版本范围结合语义化版本控制SemVer 规范也就是【主版本号.次版本号.补丁版本号】MARJOR.MINOR.PATCH常见的范围规则如下插入符^Caret允许更新次版本和补丁版本这也是 Npm 等包管理器在安装依赖时的默认行为表示可以自动花去新功能和 Bug 修复但不会引入破坏性变更比如express:^4.18.2实际范围npm 会安装≥ 4.18.2但 5.0.0的最新版本比如4.19.04.99.99都可以但不会升级到5.0.0及以上波浪号~Tilde仅允许更新补丁版本代表希望获得最大程度的稳定性只愿意接受纯粹的 Bug 修复比如lodash:~4.17.21实际范围npm 会安装≥ 4.17.21但 4.18.0的最新版本比如4.17.22可以但不会升级到4.18.0无符号精确锁定版本不加任何前缀意味着拒绝一切自动升级比如moment:2.29.4实际范围永远只安装2.29.4灵活性的意义如果所有依赖都写死精确版本一旦某个库修复了一个严重的安全漏洞并发布了新版本开发者就必须手动去修改package.json里的版本号然后重新安装而有了^或~用户只需要执行一次npm update包管理器就能在安全范围内把底层的依赖包更新到最新版本核心保障Lock 文件有人可能会担心既然package.json里面的版本是个范围那么今天装的是4.18.2明天同事拉取代码装成了4.19.0导致环境不一致怎么办这就涉及到bun.lock文件存在的意义了package.json负责声明允许什么版本范围而 Lock 文件则会像一个快照一样实时锁定当前实际安装的精确版本号只要团队里大家都基于同一个 Lock 文件安装无论package.json里规定的范围有多宽最终每个人电脑上运行的都是完全一模一样的环境OK本篇先到这里如有疑问欢迎评论区留言讨论祝各位功力大涨技术更上一层楼更多内容见下篇 blog
