🧑‍💻

package-lock.jsonとnpm-shrinkwrap.jsonの使い分け

2021/09/02に公開

最近リポジトリによって使い分けられてるのを見つけて調べたのでまとめ

忙しい人向け

package-lock.json使っといたほうがよい

npm installを叩くとできるやつ
依存関係にあるnpmパッケージのバージョンを固定するもの
~~たまにこれをgit ignoreしてる人いるけど複数人で開発するときバージョンで動作変わったらどうするんだろうか~~

npm shrinkwrapを叩くとできるやつ
package-lock.jsonと同じく依存関係にあるnpmパッケージのバージョンを固定するもの

自分が調べた範囲だと2つの差分があった

これを実行したときにnpmのバージョンによって挙動が変わる
npm6系のときは差分はない
~~ドキュメント読んで差分なさげって思っただけで動かしてない~~
しかしnpm7系のときに挙動が変わる
package-lock.jsonがないぞってエラーを吐いて動かなくなる

なので、npm auditをつかう上ではnpm-shrinkwrap.jsonを使うメリットはない

大きな機能差分これ
package-lock.jsonを使っていた場合、利用者側で依存関係のバージョンを変える事ができる
以下のpackage.jsonを持つ2種類のパッケージを依存関係に持つとする

  "devDependencies": {
    "@babel/core": "^7.0.0",
    ・・・

 "devDependencies": {
   "@babel/core": "^7.1.0",
   ・・・

package-lock.jsonの場合はバージョンを固定できないので、npm installを実行したタイミングでよしななバージョンが入る
この場合は7系の最新のものが入る

npm-shrinkwrap.jsonを使っており、7.1.1で固定さている場合
npm installを実行したタイミングで7.1.1より新しいバージョンがあったとしても、7.1.1が入る

あえてレンジじゃなくて、バージョンを固定したいみたいなケースは稀な気がするが、こういうことしたいときにnpm-shrinkwrap.jsonを使うとよい

特殊な使い方をしない限りはpackage-lock.jsonをつかったほうが良い