ネストされたNPM依存バージョンをオーバーライドするにはどうすればよいですか？

使いたい grunt-contrib-jasmineNPMパッケージですが。さまざまな依存関係があります。依存関係グラフの一部は次のようになります。

─┬ grunt-contrib-jasmine@0.4.1
 │ ├─┬ grunt-lib-phantomjs@0.2.0
 │ │ ├─┬ phantomjs@1.8.2-2

残念ながら、このバージョンにはバグがあります phantomjs、Mac OS Xに正しくインストールできません。これは最新バージョンで修正されています。

grunt-lib-phantomjs新しいバージョンの使用方法を教えてくださいphantomjsですか？

追加のコンテキスト：

• grunt-contrib-jasmineのバージョン"~0.2.0"が明示的に必要であり、バージョンが明示的に必要grunt-lib-phantomjsである"~1.8.1"ですphantomjs。
• phantomjs最初にパッケージの依存関係に追加しても効果はありません。両方のバージョンがインストールされgrunt-contrib-jasmineており、古いバージョンを使用しています（参照：NPMでパッケージをインストールする場合、依存関係のいずれかの異なるバージョンを使用するように指示できますか？）。

npmシュリンクラップを使用できます依存関係またはサブ依存関係を上書きするために、機能。

私はこれを私たちのうらやましいプロジェクトでやったところです。2.7.3以降、新しいバージョンの接続が必要でした。私たちにとって問題を引き起こしていました。そこで、npm-shrinkwrap.jsonという名前のファイルを作成しました。

{
  "dependencies": {
    "grunt-contrib-connect": {
      "version": "0.3.0",
      "from": "grunt-contrib-connect@0.3.0",
      "dependencies": {
        "connect": {
          "version": "2.8.1",
          "from": "connect@~2.7.3"
        }
      }
    }
  }
}

npmは、プロジェクトのインストール中に自動的にそれを取得します。

（参照してください：https : //nodejs.org/en/blog/npm/managing-node-js-dependencies-with-shrinkwrap/）

2018年以降のバージョンの場合、npmバージョン5以降を使用：編集package-lock.json：ライブラリを削除"requires"セクション「依存関係」の下に追加します。

たとえば、deglobパッケージに現在のglobバージョンでは3.2.11なくパッケージバージョンを使用させたいとします。開いpackage-lock.jsonて見る：

"deglob": {
  "version": "2.1.0",
  "resolved": "https://registry.npmjs.org/deglob/-/deglob-2.1.0.tgz",
  "integrity": "sha1-TUSr4W7zLHebSXK9FBqAMlApoUo=",
  "requires": {
    "find-root": "1.1.0",
    "glob": "7.1.2",
    "ignore": "3.3.5",
    "pkg-config": "1.1.1",
    "run-parallel": "1.1.6",
    "uniq": "1.0.1"
  }
},

"glob": "7.1.2",から削除し"requires"、"dependencies"適切なバージョンで追加します。

"deglob": {
  "version": "2.1.0",
  "resolved": "https://registry.npmjs.org/deglob/-/deglob-2.1.0.tgz",
  "integrity": "sha1-TUSr4W7zLHebSXK9FBqAMlApoUo=",
  "requires": {
    "find-root": "1.1.0",
    "ignore": "3.3.5",
    "pkg-config": "1.1.1",
    "run-parallel": "1.1.6",
    "uniq": "1.0.1"
  },
  "dependencies": {
    "glob": {
      "version": "3.2.11"
    }
  }
},

次にnode_modulesフォルダーを削除して実行npm installすると、欠落しているパーツが"dependencies"セクションに追加されます。

糸を使う方に。

糸のcliが私のnpm-shrinkwrap.jsonファイルを無視していることを発見するまで、npmシュリンクラップを試しました。

糸はhttps://yarnpkg.com/lang/en/docs/selective-version-resolutions/、このための。きちんと。

この回答もチェックしてください：https : //stackoverflow.com/a/41082766/3051080

ネストされた依存関係の1つにnpm監査の脆弱性があるという問題がありましたが、それでも親の依存関係のバージョンを維持したいと思っていました。npmシュリンクラップソリューションは私にとっては機能しなかったので、ネストされた依存関係バージョンをオーバーライドするために何をしたか：

1. package-lock.jsonの「requires」セクションでネストされた依存関係を削除します
2. package.jsonのDevDependenciesの下に更新された依存関係を追加して、それを必要とするモジュールが引き続きアクセスできるようにします。
3. npm i

NPMシュリンクラップは、この問題に対する優れたソリューションを提供します。特定のサブモジュールの特定の依存関係のバージョンを上書きすることができます。

基本的に、npm installを実行すると、npmはまずルートディレクトリを調べて、npm-shrinkwrap.jsonファイルが存在するかどうかを確認します。存在する場合は、最初にこれを使用してパッケージの依存関係を判断し、次に、package.jsonファイルを処理する通常のプロセスにフォールバックします。

npm-shrinkwrap.jsonを作成するために必要なことは、

 npm shrinkwrap --dev

コード：

{
  "dependencies": {
    "grunt-contrib-connect": {
      "version": "0.3.0",
      "from": "grunt-contrib-connect@0.3.0",
      "dependencies": {
        "connect": {
          "version": "2.8.1",
          "from": "connect@~2.7.3"
        }
      }
    }
  }
}

私に役立つ解決策を見つけました。

そう。最初にnpm-shrinkwrap.jsonファイルを編集して、他のすべてのソリューションを推奨します。

次に、（Windowsの場合）：

• 「npm-shrinkwrap.json」ファイルを右クリックします
• プロパティ
• [属性]で[読み取り専用]を選択します。 これにより、npmがmpn-shrinkwrap.jsonファイルを変更できなくなります。

「npm install」操作を1回だけ行う場合は、他の提案されたソリューションで十分です。ただし、最初の「npmインストール」の後、ファイル「npm-shrinkwrap.json」は、変更前と同様に再度変更されます。