ヤーンロックファイルをコミットする必要がありますか？それは何のためですか？

Yarnは、yarn.lockを実行した後にファイルを作成しますyarn install。

これをリポジトリにコミットするか、無視する必要がありますか？それは何のため？

はい、チェックインする必要があります。npmからの移行を参照してください。

Yarnは、パッケージのルートディレクトリ内にyarn.lockファイルを生成します。このファイルを読んだり理解したりする必要はありません。ソース管理にチェックインするだけです。

プロジェクトの内容によって異なります。

1. あなたのプロジェクトはアプリケーションですか？その後：はい
2. あなたのプロジェクトはライブラリですか？その場合：いいえ

これについてのより詳細な説明は、このGitHubの問題で見つけることができます。言う：

package.jsonは、元の作成者が希望する意図したバージョンを示し、yarn.lockは、特定のアプリケーションの最新の既知の適切な構成を示します。

yarn.lock最上位プロジェクトの-file のみが使用されます。したがって、1つのプロジェクトがスタンドアロンで使用され、別のプロジェクトにインストールされない限り、yarn.lock-file をコミットする意味はありません。代わりに、常にpackage.json、プロジェクトが予期する依存関係のバージョンを伝えるの -fileです。

私はこれらが1つの2つの別々の質問だと思います。両方にお答えしましょう。

ファイルをリポジトリにコミットする必要がありますか？

はい。ckuijjerの回答で述べたように、移行ガイドでこのファイルをリポジトリに含めることをお勧めします。理由を理解するために読んでくださいそれを行う必要がある。

なにyarn.lock？

これは、プロジェクトの正確な依存関係のバージョンと各パッケージのチェックサムを格納するファイルです。これは、依存関係に一貫性を提供する糸の方法です。

このファイルが必要な理由を理解するには、最初に元のNPMの背後にある問題が何であったかを理解する必要がありますpackage.json。パッケージをインストールすると、NPMは特定のリビジョン（サーバー）ではなく、依存関係の許可されたリビジョンの範囲を保存します。NPMは、指定された範囲内の依存関係の最新バージョンの依存関係をフェッチしようとします（つまり、互換性のないパッチ更新）。このアプローチには2つの問題があります。

1. 依存関係の作成者は、実際にプロジェクトに影響を与える重大な変更を導入しながら、パッチバージョンの更新をリリースする場合があります。

2. npm install異なる時間に実行されている2人の開発者は、異なる依存関係のセットを取得する場合があります。これにより、まったく同じ2つの環境でバグを再現できなくなる可能性があります。これにより、たとえばCIサーバーのビルド安定性の問題が発生する可能性があります。

一方、糸は最大の予測可能性のルートをとります。依存関係yarn.lockの正確なバージョンを保存するファイルを作成します。そのファイルを適所に配置するとyarn.lock、からのバージョンを解決する代わりに、に保存されているバージョンが使用されますpackage.json。この戦略により、上記の問題が発生しないことが保証されます。

yarn.lockコマンドnpm-shrinkwrap.jsonで作成できるものと似ていますnpm shrinkwrap。これらの2つのファイルの違いを説明するこの回答を確認してください。

Yarnは独自のyarn.lockファイルをバージョン管理しているので、私はそうだと思います：https : //github.com/yarnpkg/yarn

確定的なパッケージ依存関係の解決に使用されます。

あなたがすべき：

1. リポジトリに追加してコミットする
2. ローカルとCIビルドサーバーの両方で、デフォルトとして使用yarn install --frozen-lockfileしyarn installます。

（yarnの課題トラッカーでチケットを開いて、frozen-lockfileをデフォルトの動作にするケースを作成しました。＃4147を参照してください）。

ファイルにfrozen-lockfileフラグを設定しないように注意してください。フラグを設定する.yarnrcと、package.jsonファイルとyarn.lockファイルを同期できなくなります。githubで関連する糸の問題を参照してください

yarn install糸が予期せずに変化し、糸が繰り返し可能なビルドを無効にしたり無効にしたりする可能性があります。を使用yarn installして、yarn.lockを初期化し、それを更新する必要があります。

また、特に 大規模なチームでは、開発者がローカルプロジェクトをセットアップしただけで、糸ロックの変更に関して多くのノイズが発生する可能性があります。

詳細については、npmのpackage-lock.jsonに関する私の回答を読んでください。ここでも同様です。

これは最近、yarn installのドキュメントでも明らかになりました：

yarn install

ローカルのnode_modulesフォルダーのpackage.jsonにリストされているすべての依存関係をインストールします。

yarn.lock以下のようにファイルが利用されています：

• yarn.lockが存在し、package.jsonにリストされているすべての依存関係を満たすのに十分である場合、yarn.lockに記録されている正確なバージョンがインストールされ、yarn.lockは変更されません。糸は新しいバージョンをチェックしません。
• yarn.lockがないか、package.jsonにリストされているすべての依存関係を満たすのに十分でない場合（たとえば、package.jsonに手動で依存関係を追加する場合）、Yarnはパッケージの制約を満たす最新の利用可能なバージョンを探します.json。結果は、yarn.lockに書き込まれます。

yarn.lockが更新されないようにしたい場合は、 --frozen-lockfile.

私の経験から、はい、私たちはyarn.lockファイルをコミットするべきだと言います。他の人があなたのプロジェクトを使うとき、彼らがあなたのプロジェクトが期待するのと同じ依存関係を確実に得るでしょう。

文書から

糸または糸追加のいずれかを実行すると、糸はパッケージのルートディレクトリ内に.lockファイルを生成します。このファイルを読んだり理解したりする必要はありません。ソース管理にチェックインするだけです。他の人がnpmの代わりにYarnを使い始めると、yarn.lockファイルは、彼らがあなたと正確に同じ依存関係を取得することを保証します。

一つは、私たちが交換することにより、それを達成できることを、可能性が主張^して--。はい、できますが、一般的に、npmパッケージの大部分には^表記が付いていることがわかりました。静的な依存関係のバージョンを確保するには、表記を手動で変更する必要があります。yarn.lockバージョンを確認するには、ます。

エリック・エリオットがここで言ったように

.gitignore yarn.lockを使わないでください。「私のマシンで動作する」バグを回避するために、確定的な依存関係の解決を確実にするためにあります。

はい、コミットする必要があります。yarn.lockファイルの詳細については、こちらの公式ドキュメントを参照してください

はい！yarn.lock依存関係をインストールする開発者がまったく同じ出力を得るようにチェックインする必要があります！ NPM [2016年10月に利用可能であった]、たとえば、あなたが持つことができpatch、新鮮なを実行している新しい開発者がローカルにインストールされている間（1.2.0を言う）、バージョンinstallの異なるバージョン（1.2.1）を得るかもしれないが。