Mengapa package-lock.json mengubah hash integritas dari sha1 menjadi sha512?

Saya baru saja membuat lockfile npm baru, package-lock.json, sebagai bagian dari alur kerja khas saya. Tapi saya perhatikan bahwa kali ini semua hash integritas telah diubah dari sha1 menjadi sha512. Apa yang terjadi disini?

"chalk": {
    "version": "2.0.1",
    "resolved": "https://registry.npmjs.org/chalk/-/chalk-2.0.1.tgz",
-   "integrity": "sha1-ce5R+nvkyuwaY4OffmgtgTLTDK8=",
+   "integrity": "sha512-lyuxPGr/Wfhrlem2CL/UcnUc1zcqKAImBDzukY7Y5F/yQiNdko6+fRLevlw1HgMySw7f611UIY408EtxRSoK3Q==",
    […]
}

Dari apa yang saya lihat, npm mengubah checksum integritas dari sha1 menjadi sha512.

Jika perubahan git Anda beralih dari sha1 ke sha512, Anda harus melakukan pembaruan itu sekali dan setelah itu akan bagus.

Jika orang lain bekerja dengan basis kode dan melihat perubahan git dari sha512 ke sha1 (yang merupakan masalah yang saya alami), Anda dapat memperbaikinya dengan menjalankan perintah berikut:

Buang perubahan di git untuk package-lock.json

npm i -g npm
rm -rf node_modules/
npm i

Ini akan memperbarui npm dan menginstal ulang semua paket Anda sehingga checksum baru (sha512) hadir.

Membangun dari apa yang dijawab Dave. Perbaikan yang saya temukan adalah melakukan hal berikut:

npm i -g npm

cd {working directory}
rm -rf node_modules/
rm package-lock.json
npm cache clear --force
npm i

Kami melakukan ini untuk semua pengembang kami pada saat yang sama dan ini menghentikan masalah sha-512 vs sha-1 yang menyebabkan konflik penggabungan yang membuat frustrasi.

Lihat juga https://github.com/npm/npm/issues/17749 yang meskipun mengklaim bahwa masalahnya sudah 'diperbaiki', sebenarnya tidak. Menghapus node_modulesadalah solusi.

Mungkin ada hubungan dengan sistem operasi. Kami sedang melakukan ini sekarang dengan pengembang di platform Linux dan Windows.

Sebagai @Daniel Cumings, saya juga harus menghapus package-lock.jsonuntuk menyingkirkan hash sha1. Berikut perintah Windows CLI untuk referensi, yang berfungsi sama dengan skrip Daniel:

npm i -g npm
rd /s /q "node_modules"
del package-lock.json
npm cache clear --force
npm i

Saya bekerja di tim besar. Memaksa setiap pengembang untuk memaksa membersihkan npmcache itu sulit dan tidak dapat diandalkan. Juga, ini tidak membantu setiap saat. Jadi, bagi siapa saja yang masih menghadapi masalah npm ini (sama seperti saya) dan tidak ada yang membantu - coba alat berbasis git yang saya buat baru-baru ini: https://github.com/kopach/lockfix . Ini sha512 -> sha1mengembalikan perubahan integritas file kunci npm. Jika Anda menambahkan ini ke postshrinkwrapskrip package.json- Anda pada akhirnya akan mendapatkan semua properti integritas yang disetel sha512dan memiliki file kunci yang konsisten.

npm install --save-dev lockfix

"scripts": {
    "postshrinkwrap": "lockfix",
},

Lebih lanjut membangun komentar dan saran sebelumnya, bagi saya, saya perlu menghapus folder node_modules yang ada, cache, dan kemudian ambil file sha512 package-lock.json dari git (yang dilakukan dari komputer lain), dan akhirnya melakukan npm i . Sesuatu seperti ini:

npm i -g npm
rm -rf node_modules/
npm cache clear --force
git reset --hard
npm i

Setelah paket-lock.json menggunakan sha512 dan perubahan lainnya distabilkan.