5. yarn.lock

为了获得跨机器的一致安装，Yarn需要比您在配置中的依赖更多的信息package.json。Yarn需要存储每个依赖项的安装版本。

为此，Yarn 在项目的根目录中使用一个文件yarn.lock。这些“锁文件”看起来像这样：

# THIS IS AN AUTOGENERATED FILE. DO NOT EDIT THIS FILE DIRECTLY.
# yarn lockfile v1
package-1@^1.0.0:
  version "1.0.3"
  resolved "https://registry.npmjs.org/package-1/-/package-1-1.0.3.tgz#a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0"
package-2@^2.0.0:
  version "2.0.1"
  resolved "https://registry.npmjs.org/package-2/-/package-2-2.0.1.tgz#a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0"
  dependencies:
    package-4 "^4.0.0"
package-3@^3.0.0:
  version "3.1.9"
  resolved "https://registry.npmjs.org/package-3/-/package-3-3.1.9.tgz#a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0"
  dependencies:
    package-4 "^4.5.0"
package-4@^4.0.0, package-4@^4.5.0:
  version "4.6.3"
  resolved "https://registry.npmjs.org/package-4/-/package-4-2.6.3.tgz#a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0"

这与Bundler或Cargo等其他软件包管理器中的锁文件相当。它与npm相似npm-shrinkwrap.json，但它不具有损耗性，并且可产生可重现的结果。

由Yarn管理

您的yarn.lock文件是自动生成的，应完全由Yarn处理。当您使用Yarn CLI添加/升级​​/删除依赖项时，它将自动更新您的yarn.lock文件。不要直接编辑这个文件，因为很容易破坏某些东西。

仅限当前包

在安装期间，Yarn只会使用顶层yarn.lock文件，并会忽略yarn.lock依赖项中存在的任何文件。顶层yarn.lock文件包含Yarn需要锁定整个依赖关系树中软件包版本的所有内容。

检查到源代码管理

所有yarn.lock文件都应该检入源代码控制（例如git或mercurial）。这允许Yarn在所有机器上安装相同的精确依赖关系树，无论它是您的同事的笔记本电脑还是CI服务器。

框架和库作者也应该检查yarn.lock源代码管理。不要担心发布yarn.lock文件，因为它不会影响库的用户。