Нужно ли добавлять в commit package-lock.json?

Нужно ли добавлять в commit package-lock.json?

Краткий ответ: Да, ОБЯЗАТЕЛЬНО коммитить package-lock.json в git.

Почему package-lock.json нужен?

1. Гарантия воспроизводимости версий

Без package-lock.json:

• На машине разработчика: express 4.18.5
• На машине другого dev: express 4.19.2 (выше!)
• В production: express 4.20.0
• ПРОБЛЕМА: разные версии, баги воспроизводятся по-разному

С package-lock.json:

• Все машины устанавливают ТОЧНО 4.18.5
• npm install читает package-lock.json первым

2. Безопасность

• npm install проверяет целостность через hash
• Если кто-то модифицировал пакет — npm заметит

3. Скорость установки

• С package-lock.json: npm install (30 секунд)
• Без package-lock.json: npm install (5 минут, решает зависимости заново)

Как использовать package-lock.json правильно?

1. Коммитить оба файла

git add package.json package-lock.json git commit -m "Update dependencies"

2. Никогда не редактировать package-lock.json вручную

Правильно — используй npm команды: npm install express@latest npm install --save-dev jest

Неправильно — редактировать lock файл вручную. Это может сломать зависимости!

3. Всегда запускать npm install после pull

git pull origin main npm install # Обновит node_modules согласно lock файлу

Версионирование в package.json

• exact: "1.2.3" — точная версия
• caret: "^1.2.3" — 1.x.x (любой минор/патч)
• tilde: "~1.2.3" — 1.2.x (любой патч)
• greater: ">= 1.2.3" — любая выше
• range: "1.2.3 - 1.5.0" — диапазон

Рекомендации:

• Для production: exact или caret
• Для dev: caret, но внимательнее с breaking changes
• Для критичных: точная версия (без caret/tilde)

Правильный workflow

1. Новый пакет: npm install express
2. package.json обновится: "express": "^4.18.0"
3. package-lock.json обновится: "express": { "version": "4.18.5" }
4. Коммитить оба
5. Colleague клонирует и запускает npm install (30 сек, installs 4.18.5 точно)
6. Update версии: npm update express
7. Lock файл обновится автоматически

pnpm и yarn — альтернативы

pnpm:

• Создаёт pnpm-lock.yaml вместо package-lock.json
• ОБЯЗАТЕЛЬНО коммитить pnpm-lock.yaml!

Yarn:

• Создаёт yarn.lock
• ОБЯЗАТЕЛЬНО коммитить yarn.lock!

Важно: Если в проекте pnpm или yarn, используй их везде. Не мешай с npm!

.gitignore для Node.js

Правильно: node_modules/ — никогда не коммитить! dist/ build/ *.log .env

Неправильно: package-lock.json — НУЖНО коммитить! yarn.lock — НУЖНО коммитить! pnpm-lock.yaml — НУЖНО коммитить!

Security: npm audit

npm audit — проверить известные уязвимости npm audit fix — попытаться автоfix npm install package-name@latest — manual update

Лучшая практика: npm audit проверять регулярно, npm audit fix обновлять в CI/CD pipeline.

Конфликты в package-lock.json при merge

Если два разработчика обновили разные пакеты и получился конфликт merge:

git add package.json package-lock.json npm install # Пересчитает lock файл на основе package.json git add package-lock.json git commit -m "Resolve merge conflict in package-lock.json"

Лучшие практики

1. Всегда коммитить lock файл (git add package-lock.json)
2. Никогда не редактировать вручную
3. Использовать npm ci в CI/CD (вместо npm install) — strict mode
4. Регулярно обновлять (npm update, npm outdated)
5. Проверять уязвимости (npm audit)

Docker best practice

Правильно: FROM node:20-alpine WORKDIR /app COPY package.json package-lock.json ./ RUN npm ci # Strict install, no updates

Неправильно: RUN npm install # Может установить разные версии!