セキュリティ系の勉強、その他開発メモとか雑談. GithubはUnity触っていた頃ものがメイン Twitterフォローもよろしくです

yarn.lock integrityが削除される

//

事象

こんな感じで、他人がコミットしたyarn.lockを使用してyarn installを行うと、integrity行が大量に消えdiffがものすごいことになる。

f:id:thinline196:20191202124003p:plain


環境

$ yarn -v
1.16.0



結論

元々yarn1.10系から導入されたもののようで、過去に1.9系でinstallを行うとintegrityが消えるという、今回と同じissueが見つかった。

github.com

https://spectrum.chat/yushima-js/general/2018-11-1-110-mtg~f4d1ed4b-a658-4c95-a0e0-8f4acd303407

方向性としておそらく同issueのこのコメントが採用されているはず、、

 If there is a 1.9 style yarn.lock file (i.e. it doesn't contain integrity entries), keep it as a 1.9 
style lock file, don't add integrity entries. Print a warning, something like "Using yarn 1.9 
compatible lock file; run yarn upgrade-lock-file to upgrade [and enable integrity checking]".

引用元:https://github.com/yarnpkg/yarn/issues/6440#issuecomment-427784186


  • 基本的にチームメンバで同じバージョンを利用すること。
  • もし1.9系を使っている人がいるのなら、1.9系に合わせる


とのことなので、これを信じるなら、僕が再びyarn installを実行してもdiffがまた大量発生することはなさそう。
少し昔の事象のようですが、日本語情報が少なかったので念の為。