先日npm5がリリースされました。同時期にリリースされたNode.js v8.0.0にもバンドルされており、
複数ある新機能のうち、package-lock.jsonについて気になったので本家のドキュメントの内容を読んでまとめました。
package-lock.jsonについて
package-lock.json はnode_modules配下やpackage.jsonに変更があった際に自動で作成・変更されるファイルです。
具体的には、 npm install npm update npm uninstallなど、パッケージに変更が加えられるタイミングで作成・変更されます。
このファイルはpackage.jsonなどのように、リポジトリのソースの一部として組み込まれるように設計され、様々な目的のために利用されます。
package-lock.jsonを導入する目的は以下のとおりです。
リポジトリの依存関係を表現する単一の方法を提供する。
チームメンバーそれぞれの環境での開発時や、CIによるデプロイ時など、環境に限らず同じ依存関係をもってサブモジュールをインストールできることを保障します。対象のサブモジュールに対して、過去のバージョンに容易に戻れるような手段を提供する。
可読性のあるソースコードにより、モジュール改装の変更の可視化を容易にする。
npmパッケージのインストールプロセスの最適化
すでにインストール済みのパッケージのメタデータ解析をスキップする事により、インストールプロセスの最適化を実現します。
yarnと比べるとまだまだ遅いですが、npm4と比べるとかなり速度が改善しています。
docs.google.com
package-lock.jsonの重要な点は、ファイルが公開できることと、もしトップレベルモジュールにpackage-lock.jsonファイルがある場合、下位モジュールでのpackage-lock.jsonは無視されるということです。
npm4で存在していた、npm-shrinkwrap.jsonとフォーマットを共有しているため、本質的には中身は同じものですが、package-lock.jsonはファイルを公開できることが異なります。
しかしpackage-lock.jsonを公開することは、CIツールを使ったデプロイを行うか、本番環境への公開プロセスを使用しない限り、おすすめできません。
もしpackage-lock.jsonとnpm-shrinkwrap.jsonがパッケージのルートディレクトリに両方存在していた場合、
package-lock.jsonは完全に無視されます。
参考
npm5の他の機能も解説されており、勉強になります。
yosuke-furukawa.hatenablog.com
npm-shrinkwrap.jsonとpackage-lock.jsonとの違いについて stackoverflow.com
