问个 npm install 的问题

npm install 就可以

是的，使用 npm ci [会用且只会用] package-lock.json 里面的固定的依赖版本进行安装，保证环境一致。（ npm install 在存在 lock 文件时是优先使用 lock 中的依赖版本进行安装）

不懂就问，除了 Angular 这个单词为啥其他的单词都大写

npm 比较慢，建议用 pnpm ，另外，
npm 依赖版本锁定要保留 package-lock.json;
pnpm 要保留 pnpm-lock.yaml

@sengle npm install 的话，就算存在 lock 文件，有时也会升级版本的

可以把 package 里面,依赖包的版本号前面的 ^去掉，强制锁定版本

5 楼说的对，要想完全按照 lock 文件装需要用 npm ci

@musi 哈哈，切换大小写和中文感觉很麻烦，搞糊涂了，后面干脆都大写了

6 楼的方法，无法锁定依赖的依赖的版本

npm ci 不会安装 devdependencies [开发依赖] 只会安装 dependencies [运行依赖] 。我理解还是确认好版本号，不使用 ^ ~ 等标记，锁死版本。
当然实际情况下我都直接 npm i[nstall] 。版本号也不管，实际没出过问题。

@tutou npm install package 可以同时修改 package-lock.json 和 package.json ，而不带参数的 npm install 只会修改 package-lock.json

@crysislinux npm install 不带参数，是不会升级版本的。

@zhhbstudio package-lock.json 已经帮你锁死版本了。

@sengle “npm install 在存在 lock 文件时是优先使用 lock 中的依赖版本进行安装”，请问 lock 文件的作用是什么呢

只要附带 lock 文件就行了，对方只要是开发就执行 npm i 。

@fqy12300 #13 我记得比如你的 package.json 中有 a@^1.1.1 ，当你安装后 lock 文件中锁定版本也是这个，当新版本 [email protected] 发布后，npm install 会安装 [email protected] 的。
我去实际试一下。

npm install 时会按照你 package.json 里依赖的版本锁定符号("^" "~" "")，自动升级 package-lock.json 。如果不想自动升级，可以用 npm ci ，ci 会先删除依赖文件夹然后跳过读取 package.json ，直接安装 package-lock.json 里指定的版本

老实说 nodejs 这块确实有诟病，想固定依赖基本上都得在 package.json 锁定版本，万一有的父依赖的子依赖有安全隐患，后续这个子依赖升级修复了，但是那个父依赖没升级，你想避免隐患的话只能去 package-lock.json 改子依赖的版本，然后一改就只能用 npm ci 安装，因为用 npm i 会自动修正

我之前修过一阵子依赖安全问题，经常遇到上述的情况，最后的手段就是手动在 package-lock.json 里锁定各个依赖的版本，然后只要这些父依赖没更新，这个项目就得一直用 npm ci 安装依赖

@fqy12300 #13 #16 好像各个版本不同，最新版本是会锁死的。