018、版本升级与回滚：npm update、版本锁定与 Breaking Changes 应对

018、版本升级与回滚：npm update、版本锁定与 Breaking Changes 应对

上周五晚上十一点，我正打算合上电脑下班，生产环境突然报错——某个第三方图表库渲染出来的数据全部错位。git blame 一看，下午同事执行了 npm update，把依赖从 3.x 升级到了 4.x。新版本改了内部坐标系计算逻辑，但 API 文档里只字未提。那晚我花了三个小时回滚、锁定版本、写补丁。今天这篇笔记，就是那次事故换来的经验。

npm update 不是“安全更新”

很多人以为 npm update 只是打补丁，不会破坏功能。这是最大的误解。npm update 的行为取决于你的 package.json 中声明的版本范围。

假设你写的是 "lodash": "^4.17.0"，执行 npm update 会把 lodash 升级到 4.17.x 系列的最新版——这通常安全。但如果你写的是 "react": "^16.0.0"，而 16.x 系列已经出到 16.14.0，npm update 会直接跳到 16.14.0。16.0 到 16.14 之间有多少 breaking changes？React 官方说没有，但实际项目中我遇到过 context API 行为变化导致的诡异 bug。

更危险的是那些不遵循 semver 的库。比如某个工具库从 1.2.3 升到 1.2.4，只改了内部一个函数的参数顺序，但没改主版本号。npm update 拉下来，你的代码直接报 undefined is not a function。

我的做法：永远不要在生产环境直接跑 npm update。先在本地或测试环境跑，然后 git diff package-lock.json 看看哪些包变了。如果变化超过 5 个，我会手动逐个升级，而不是一把梭。

版本锁定：package-lock.json 不是银弹

很多人以为有了 package-lock.json 就万事大吉。但 lock 文件只保证你本地安装的版本和 CI 一致，它管不了 npm update 的行为。

真正有效的锁定手段是：

1. 去掉 ^ 和 ~：把 "express": "^4.17.1" 改成 "express": "4.17.1"。这样任何 npm install 或 npm update 都不会动这个包，除非你手动改版本号。缺点是你永远打不上安全补丁——需要自己定期检查并手动升级。

2. 使用 npm shrinkwrap：生成一个 npm-shrinkwrap.json，它的优先级高于 package-lock.json，发布到 npm 仓库时也会带上。适合库作者锁定依赖树。

3. CI 中强制校验 lock 文件：在 CI 脚本里加一行 npm ci 而不是 npm install。npm ci 会严格按照 lock 文件安装，如果 lock 文件和 package.json 不一致直接报错退出。这能防止有人本地改了 package.json 但没提交 lock 文件。

这里踩过坑：有次我改了 package.json 里的版本号，但忘了跑 npm install 更新 lock 文件。CI 上 npm ci 报错，排查了半小时才发现。后来我在 pre-commit hook 里加了检查：如果 package.json 变了但 lock 文件没变，直接拒绝提交。

Breaking Changes 应对：三步止损法

依赖升级导致的生产事故，90% 可以通过以下流程避免：

第一步：读 CHANGELOG 和迁移指南

别只看版本号。去 GitHub 的 Releases 页面看 changelog，重点找 BREAKING CHANGE 关键字。很多库的 changelog 会列出破坏性变更和迁移步骤。比如 React 16 到 17 的迁移指南就写了十几页，但大部分人只看了标题就升级了。

第二步：用 npm diff 对比代码变化

npm diff 是 npm 7+ 自带的功能。比如你想知道 lodash 从 4.17.20 升到 4.17.21 改了哪些文件，可以跑：

npm diff lodash@4.17.20 lodash@4.17.21

它会输出两个版本之间的文件差异。虽然输出可能很长，但至少你能看到哪些函数被改了。如果改动涉及你正在用的 API，立刻警觉。

第三步：写一个兼容性测试

在升级前，针对你项目中用到的该库的 API 写一个测试用例。比如你用了 lodash 的 _.get，就写个测试验证 _.get({a: {b: 1}}, 'a.b') 返回 1。升级后跑这个测试，如果挂了，说明新版本改了行为。这个测试可以留在项目里，下次升级时继续用。

别这样写：不要直接在生产环境跑 npm update 然后指望测试覆盖所有场景。单元测试覆盖不到运行时动态加载的模块、第三方插件的兼容性、以及不同 Node 版本下的行为差异。

回滚的三种姿势

如果升级已经发生并且出了问题，别慌。按优先级尝试以下方法：

方法一：git revert + npm ci

如果你在升级前提交了 lock 文件，直接 git revert 那个 commit，然后 npm ci 恢复 lock 文件里的版本。这是最快最干净的方式。

方法二：手动指定版本重装

如果没提交 lock 文件，或者 lock 文件已经被覆盖了，手动指定旧版本重装：

npm install lodash@4.17.20 --save-exact

--save-exact 会在 package.json 里写入精确版本号，不带 ^ 或 ~。这样下次 npm update 也不会动它。

方法三：使用 npm overrides 强制覆盖

有些情况下，你的依赖的依赖（间接依赖）出了问题。比如你用了 A 包，A 依赖了 B 包，B 包升级后坏了。你没法直接改 A 的 package.json，但可以用 npm overrides：

{
  "overrides": {
    "B": "1.2.3"
  }
}

这会强制整个依赖树中的 B 包都使用 1.2.3 版本，不管 A 声明了什么范围。注意：overrides 只在 npm 8+ 支持，且需要谨慎使用，因为它可能破坏 A 包的内部逻辑。

个人经验性建议

1. 把依赖升级当成一个独立任务，不要和功能开发混在一起。每次只升级一个包，测试通过后再升下一个。批量升级出问题你根本不知道是哪个包导致的。

2. 给 package.json 里的版本号加注释。比如：

   "lodash": "4.17.20", // 别升到 4.17.21，那个版本改了 _.get 的行为
   

   虽然 JSON 标准不支持注释，但你可以用 // 字段或者单独建一个 DEPENDENCY_NOTES.md 文件。团队协作时这能救命。

3. 定期做“依赖健康检查”。每季度跑一次 npm outdated，看看哪些包有更新。然后挑一个周末，逐个评估升级风险。不要等到安全漏洞爆了才被迫升级——那时候你根本没时间做兼容性测试。

4. 对于核心依赖（框架、数据库驱动、认证库），永远锁定主版本号。比如 React 只写 "react": "17.0.2"，不写 ^17.0.0。主版本内的 minor 升级也可能引入破坏性变更，虽然理论上不应该，但现实是很多库不严格遵守 semver。

5. 最后一条，也是最重要的一条：如果某个依赖的升级文档里写了“This version contains breaking changes”，不要心存侥幸。我见过太多人觉得“我就用了一个小功能，应该不会受影响”，结果恰恰是那个小功能被改了。老老实实读迁移指南，写兼容性测试，别偷懒。

那次生产事故之后，我在团队里推行了一个规则：任何 npm update 或手动升级依赖的 PR，必须附带 changelog 截图和兼容性测试结果。虽然增加了代码审查的工作量，但再也没有出现过半夜回滚的情况。有些经验，真的只有踩过坑才能长记性。