Package lock y el uso los símbolos ^ y ~

Clase 9 de 18 • Curso de Gestión de Dependencias y Paquetes con NPM

Resumen

El archivo package-lock.json describe todo el árbol de dependencias de cada paquete instalado. Cuando alguien hace fork de un repositorio no tiene el directorio node_modules.

Con el comando npm install se instalarán las dependencias indicadas en el package.json con la versión indicada. También, se instalarán las sub-dependencias indicadas en package-lock.json con la versión indicada. Pero, ¿qué significan estas diferentes versiones en cada dependencia?

Versionado de paquetes

El versionado de paquetes está conformado por tres valores:

Major: el valor que muestra la versión que contiene los cambios importantes del paquete
Minor: el valor que muestra la versión que contiene los cambios en funcionalidades, pero no representan un cambio significativo
Patch: el valor que muestra la versión que contiene cambios rápidos para solucionar problemas de seguridad o bugs

Símbolos ^ y ~ para actualizar las versiones minor y patch

Existen dos símbolos que acompañan a este versionado, que sirven para actualizar las versiones minor y patch del paquete:

Caret (^): Permite actualizar las versiones minor y patch
Tilde (~): Permite actualizar las versiones patch

Por ejemplo, tenemos la versión “5.2.3”:

Si tiene el carret ^, actualizará la versión minor y patch, por lo que tendrás versiones como “^5.3.3”, “^5.4.3”, “^5.4.4”, etc.
Si tiene la tilde ~, actualizará la versión de patch, por lo que tendrás versiones como “~5.2.4”, “~5.2.5”, “~5.2.6”, etc.

Lo recomendable es quitar estos símbolos y tener la versión exacta para evitar problemas de versionado, principalmente con paquetes que los mantienen pocas personas o no son fiables.

Contribución creada con aportes de: Andrés Guano.

Facundo Nicolás García Martoni

teacher•

Oscar Barajas Tavares

Team Platzi•

Todos debemos de tener esta imagen en favoritos, es de mucha ayuda para crear nuestras versiones de software :D

Bernardo Ayala Montezuma

student•

Mil gracias por tu aporte. Me pareció interesantísima esta imagen cuando la vi en la clase.

Pedro Muñoz Becerra

student•

Además de esos símbolos, también tenemos:

< : Versión menor a la indicada.
<= : Versión menor o igual a la indicada.
> : Versión mayor a la indicada.
>= : Versión mayor o igual a la indicada.

Los cuales se utilizan así:

"dependencies": {
    "json-server": ">0.15.1",
    "moment": ">=2.26.0",
    "date-fns": "<2.14.0",
     "react": "<=16.12.0"
}

Jhon Carlos Colorado Angulo

student•

Gracias por tu aporte.

Jefferson Andres Espejo Goez

student•

Genial el aporte!

Karla

student•

^ = Si mantenemos el caret dentro de la configuración de nuestro package estamos garantizando que cuando realicemos una actualización o tengamos un cambio que podamos realizar, vamos a hacer actualización de los cambios menores y de los parches o bug fixes. Para quedarnos en una sola versión eliminamos el caret.
~ = Establece que vamos a recibir actualizaciones o cambios solamente de los cambios que son parches o bug fixes.

Jimmy Buriticá Londoño

student•

Gracias por la explicación.

Alonso Fabricio Samanez Nuñez

student•

Gracias

Iván Darío Sánchez Jiménez

student•

Nombre en español de los símbolos utilizados

^ Acento circunflejo
~ Virgulilla

Daniel Esteban Santos Mendez

student•

Descansaré en paz con el "acentro circunflejo", por fin se como se llama. Jajajaja!

Zedovius .

student•

Buen aporte. Más apropiado sería en la programación llamar al ^ como signo de intercalación porque representa el operador XOR

Levi Nuñez

student•

Versionado Semántico

En el versionado tenemos 3 dígitos que significa:

Primer dígito: son cambios mayores
Segundo dígito: añaden ciertas funcionalidades pero no representan un gran paso para decir que esta es una versión nueva
Tercer dígito: estos son patch, bug fixes o cambios menores

*Cuando tenemos el símbolo (^) catet dentro de la configuración del package.json estamos garantizando que cuando nosotros hagamos una actualización o tengamos un cambio que podamos realizar, vamos a hacer actualizacion solo de los cambios menores y de los parches o bug fix de este paquete.

*también podemos establecer una tilde (~) esto quiere decir que vamos a recibir actualización o cambios que son parch o bug fixes.

*Lo recomendo si queremos tener el control sobre estas actualizacion garantizando que nos queremos quedar en cierta versión lo mejor es elimina el caret (^)

Package-lock.json a partir de la versión 5 npm encontramos este archivo que nos permite tener ciertas configuraciones la cual nos permite saber que esta sucediendo a lo largo de nuestro proyecto sabiendo que versiones, que paquetes y que dependencias se encuentran en este, permitiendonos tener un versionado uno poco mas establecido, podremos compartir este documento con los demás desarrolladores y garantizar que las versiones que se están instalando sean las correctas, al igual nos sirve para cuando los proyectos estén en la nube y nuestro servidor instale de manera automática todas estas dependencias

Jorge Trad

student•

Gran aporte!! Me ayudó mucho... Deberías tener más likes <3

DARWIN JUAN CARLOS CATUNTA GARCIA

student•

Muchas gracias por la explicación :)

Wilson Delgado

student•

Comando: git clone https://github.com/gndx/react-base.git && cd react-base

DARWIN JUAN CARLOS CATUNTA GARCIA

student•

Muchísimas gracias por compartir el enlace :)

Carlos Eduardo Gomez García

teacher•

Hasta donde sabía, el package-lock era como un mapa más detallado de nuestro proyecto, el cual ya tenía todas las versiones y todo escrito para que npm unicamente las instalara sin tener que volver a hacer una búsqueda, etc.

Y como resumen, en teoría cuando usas "^" permites el update de cambios menores y cuando usas "~" permites el update de bugfixes unicamente, y esto es útil para aquellos servicios que hacen los updates de nuestros paquetes automáticamente ^^

DARWIN JUAN CARLOS CATUNTA GARCIA

student•

Genial :)

Vanesa Percy

student•

Gracias, mucho más claro.

Ramón José París González

student•

Es recomendable subir el package lock al repositorio? O se debe excluir con el gitignore?

Oscar Barajas Tavares

Team Platzi•

Si, no es obligatorio, pero si es parte esencial y maneja información importante de nuestros paquetes.

Jesus Enrique Esis Parra

student•

++Package.json vs Package-lock.json++

Estos dos archivos son el corazón del manejo de dependencias de un proyecto en Node.

Package.json contiene mas información sobre el proyecto en si, y establece las dependencias principales del proyecto.

Package-lock.json guarda mas información sobre las dependencias. Por ejemplo: si estamos utilizando Express.js, esta estará referenciada en el package.json como dependencia, pero Express a su vez contiene 30 dependencias mas y 18 dependencias de desarrollo. Además de almacenar otra información importante como la version de las mismas. Esta información estará contenida en el package-lock.json.

DARWIN JUAN CARLOS CATUNTA GARCIA

student•

:O, Ahora veo la importancia de package-lock.json en el proyecto

Pablo Verduzco

student•

La mejor manera de guardar nuestras dependencias a utilizar con una versión exacta es indicando la siguiente bandera:

npm install --save-exact nombreDelPaquete

o en su versión corta:

npm i -E nombreDelPaquete

DARWIN JUAN CARLOS CATUNTA GARCIA

student•

Se agradece el tip :)

Oliver Daniel Carvajal Guarguati

student•

Me lié con algunas cosas y por eso quisiera resumir algunas cosas de todo lo que he leido. 1. Por defecto el package.json nunca va a instalar major versions, esto es debido a que un cambio grande (por ejemplo 1.1.1 a 2.0.0) podría incluir y excluir cosas que dejen inservible a nuestro proyecto

2. El package-lock.json se llama asi debido a como su nombre lo dice se quiere bloquear/asegurar (lock) el codigo. Antes de la version 5 de npm que fue lanzada en 2017 habian problemas, ya que hay que tener en cuenta que no solo las dependecias sino las subdepencias ( es decir dependencias que por defecto traen el paquete que deseas instalar) pueden actualizarse rompiendo el codigo, por eso el package lock json es literal un screenshot de las versiones de todas las dependencias y subdependencias que tengas.

3. Si no tienes package lock, se instalaran las dependecias mas recientes segun como hayas usado los simbolos ^ y ~ en tu package.json. Si tienes package lock se instalaran exactamente las versiones que se encuentren en el mismo

4. Al usar npm update se actualizaran tus dependencias segun ^ y ~ (el versionado semantico ) , pero no se actualizaran major versions. Adicionalmente si estas debajo de la version 1.0.0 la virgulilla ~ se comportara diferente (por ejemplo si estas en la version 0.15.0 solo podras actualizar hasta 0.15.x , no la 0.16.0).

Espero te sirva 😃

DARWIN JUAN CARLOS CATUNTA GARCIA

student•

Se agradece la aclaración :)

Rommel Olachea

student•

Si me fue de gran utilidad, gracias =)

Anthony Mosquera

student•

Les dejo este recurso que me salvo de algunos problemas de colisiones de versiones en mi ambiente de CI/CD, ademas, es la recomendación de NPM para versionar nuestro package-lock.json

npm shrinkwrap

https://docs.npmjs.com/cli/shrinkwrap.html

Christian Velázquez

student•

Gracias, por la recomendación.

Gonzalo Amador Hernández

student•

Muy buen aporte!!!!

Jorge Fidel Zubieta Choque

student•

Les dejo este link de uno de lso chicos y uff me sirvio para entender la forma de aplicar la clase!

https://fperez217.medium.com/qu%C3%A9-es-versionamiento-![Captura de Pantalla 2021-06-22 a la(s) 23.31.26.png](https://static.platzi.com/media/user_upload/Captura%20de%20Pantalla%202021-06-22%20a%20la%28s%29%2023.31.26-7cd4fe35-081f-4d0b-8123-253cf6e7d713.jpg)![Captura de Pantalla 2021-06-22 a la(s) 23.31.26.png]

BLOG https://fperez217.medium.com/qu%C3%A9-es-versionamiento-sem%C3%A1ntico-bf495b9eb028

Sebastian Moreno Olivera

student•

Muchas gracias compañero.

Vanesa Percy

student•

Gracias, súper bien explicado.

Arantxa Giovanna Rosas Del Valle

student•

No me quedó claro exactamente para que sirve el package-lock :(

Erik Elyager

student•

Anteriormente cuando sólo teníamos el package.json, pasaba que al clonar un paquete y hacer npm install se instalaban actualizaciones menores que rompían el paquete, todo por lo permisivo de semver.

Ahora el archivo package.json.lock se encarga de presentar una captura estática del árbol de dependencias que estamos incluyendo en un proyecto. Ahora se respeta la versión exacta de la dependencia indicada, así cualquier persona del equipo, cuando ejecute npm install, será capaz de reproducir el mismo árbol que el de su compañero sin problemas dando estabilidad dentro de los proyectos.

Edward Rodríguez

student•

Erick, me solucionaste la duda. Mil gracias!

FELIX EVR

student•

Fuente See semver for more details about specifying version ranges.

version Must match version exactly >version Must be greater than version >=version etc <version <=version ~version "Approximately equivalent to version" ^version "Compatible with version" 1.2.x 1.2.0, 1.2.1, etc., but not 1.3.0 https://... See 'URLs as Dependencies' below * Matches any version "" (just an empty string) Same as * version1 - version2 Same as >=version1 <=version2. range1 || range2 Passes if either range1 or range2 are satisfied. git... See 'Git URLs as Dependencies' below user/repo See 'GitHub URLs' below tag A specific version tagged and published as tag See npm dist-tag path/path/path See Local Paths below For example, these are all valid:

{
  "dependencies": {
    "foo": "1.0.0 - 2.9999.9999",
    "bar": ">=1.0.2 <2.1.2",
    "baz": ">1.0.2 <=2.3.4",
    "boo": "2.0.1",
    "qux": "<1.0.0 || >=2.3.1 <2.4.5 || >=2.5.2 <3.0.0",
    "asd": "https://asdf.com/asdf.tar.gz",
    "til": "~1.2",
    "elf": "~1.2.3",
    "two": "2.x",
    "thr": "3.3.x",
    "lat": "latest",
    "dyl": "file:../dyl"
  }
}

Gonzalo Amador Hernández

student•

El archvo package-lock.json sirve para bloquiar la version de las dependencias (lock como su nombre lo dice), si bien el archivo package.json define las dependencias y en que version deben estar, no es muy exacto, ya que este archivo maneja constrains (^, ~, >=) lo que deja una gran variedad de opciones validas a usar.

entonces otro desarrollador que colabore con nosotros va a adivinar que version exacta ocupamos nostros???
la respuesta es no, cuando npm instala un paquete, lo agrega en el package.json con un constrain (para dejarlo avierto a la actualizacion) pero especifica que vercion exacta se uso en el momento que un desarrollador la instalo en el archivo package-lock.json y ademas tambien especifica las dependencias de nuestras depenencias ahi mismo

Angel David Castiblanco Sepulveda

student•

El archivo package-lock.json si se sube a los repositorios o producción?

Francisco Javier Suarez Verdugo

student•

Buenas Angel, con él se puede manejar mejor las configuraciones de los paquetes de nuestro proyecto, así que es buena idea añadirlo a los repositorios. De hecho el que clona el instructor Oscar se encuentra con este archivo, puedes mirarlo aquí: https://github.com/gndx/react-base

Angel David Castiblanco Sepulveda

student•

Hola, si me fijé que si lo suben porque hay subdependencias que a veces para que funcione correctamente el proyecto se especifica la versión de las mismas en ese archivo

JeanCarlos Atoche Pascual

student•

A ver si entiendo, entonces si a las versiones de la dependencia del archivo package.json no le quito el ^ eso quiere decir que cuando alguien quiera colaborar con migo y descargue mi proyecto, al usar el comando npm install estaría descargando las mismas dependencias pero si en caso se hubieran realizado actualizaciones de esas dependencias el se estaría descargando las actualizadas y eso podría romper algunas cosas, por eso lo recomendado es quitar el ^ para de alguna manera decir que estamos trabajando con una versión estática y cuando mi compañero use el npm install descargue las mismas versiones de mis dependencias, estoy en lo correcto?

Sergio Andrés Bolaños Penagos

student•

Te dejo este comentario que te puede ayudar ya que al parecer yo también estoy confundido: https://platzi.com/comentario/2669939/

Miguel Angel Reyes Moreno

student•

git clone https://github.com/gndx/react-base.git && cd react-base

DARWIN JUAN CARLOS CATUNTA GARCIA

student•

Thank you :)

Ariel Chura

student•

No me queda claro cuales son esas "ciertas configuraciones" que tiene el archivo package-lock.

Carlos Eduardo Gomez García

teacher•

¡Hola!, no te preocupes, el archivo package-lock.json rara vez lo vas a tocar.

Este archivo contiene información mucho más detallada de los paquetes que están instalados, es decir, el package.json contiene únicamente nombre y versión, pero el package-lock.json contiene más información que solo eso, digamos que es un mapa más detallado de las dependencias de nuestro proyecto, este se genera automáticamente partiendo del package.json, por eso te digo que rara vez lo vas a tocar, porque mayormente vas a modificar el package.json, no el package-lock.json:D

Stephany Plaza

student•

pff con esta explicacion tan secilla ya no me quedaron dudas, gracias RetaxMaster

Package lock y el uso los símbolos ^ y ~

Introducción a NPM

¡Renovamos este curso de NPM!

Acerca de NPM, paquetes y módulos

Instalación

Cómo instalar un NPM en Windows

Cómo instalar un NPM en Mac

Configuración

Iniciar un proyecto

Instalación de dependencias

Instalación de dependencias con force

Cómo actualizar y eliminar paquetes