npm lockdown:通过shasum锁定npm依赖项 源码
npm锁定 将您的依赖项锁定。 这是什么? NPM Lockdown是将您的node.js应用程序锁定到特定版本的依赖项的工具...因此您可以: 知道根据您开发的代码就是您测试和部署的代码 npm install每次npm install并获取相同的代码。 不必将所有依赖项都复制到项目中 无需建立私有的npm存储库即可解决此问题。 这是给谁的 Node.JS应用程序开发人员,但不是库作者。 在npm上发布的东西可能对图书馆不感兴趣。 为什么要照顾? 即使您在package.json文件中表示逐字版本,您仍然容易受到代码随时中断的攻击。 如果您所依赖的特定版本项目本身的依赖项依赖于另一个版本范围的软件包,则可能发生这种情况。 其他人如何意外或故意破坏您的node.js应用程序? 好吧,他们可能... ...推送不再支持您的首选版本的node.js的新版本。 ...修复您实际依赖
用户评论