package.json虽然描述了项目依赖的第三方模块,但在版本控制上做的并不完善。package.json提供的模糊版本号匹配规则无法保证多次运行npm install命令后安装的模块是相同的。
以express为例,即使在package.json中明确地将版本号固定在4.17.1,但这样仅能固定express本身的版本,无法控制express自身依赖项的版本。这意味着多次执行npm install express@4.17.1可能会安装不同版本的子模块。
