这个行为能在 5.1 版（严格来说是 5.0 就希望引入，但由于 bug 被推迟到 5.1）被引入，就给我感觉 NPM 的开发团队有点不太靠谱。

应用的依赖管理这件事，有 Bundler 先行推广的 Gemfile{,.lock} 模式，其他包管理器如 Pipenv、Cargo 等也都跟着效仿，而且几乎见不到有人对这个设计提出有效的反对，那么看上去这个设计就足够好，NPM 这边只要效仿着做就可以了。毕竟不是去挑战什么未知领域的高端问题。

结果嘞，#16866 里面这么一吵，也不见 NPM 项目维护者拿出自己的观点来讨论讨论，也不考虑回应一下评论里提到的 npm update 行为不符合预期的问题，就直接在 #17058 给“fix”了，甚至在 code review 过程里也没人质疑，估计是私下讨论达成一致意见了吧。

反正我是先去用 Yarn 算了。