079、依赖升级风险控制：package.json 和 requirements.txt 跨版本升级的 AI 辅助

079、依赖升级风险控制：package.json 和 requirements.txt 跨版本升级的 AI 辅助一次让我熬夜到凌晨三点的依赖升级事故上周五下午，我接手了一个遗留了三年的Node.js项目。package.json里躺着express@4.16.0，body-parser还是1.18.x的版本。客户要求升级到Express 4.21.x，顺便把安全漏洞全修了。我心想，这不就是改个版本号跑npm install的事吗？结果npm install跑完，项目直接启动报错。body-parser的API签名变了，中间件链路的执行顺序也跟以前不一样了。更离谱的是，一个依赖了lodash@3.x的第三方包，在lodash升级到4.x后直接罢工。那天晚上我盯着终端里密密麻麻的红色报错，第一次觉得AI如果能帮我做依赖升级的风险评估该多好。后来我花了三天时间，把Claude Code调教成了我的依赖升级副驾驶。今天这篇笔记，就是那三天踩坑换来的实战经验。依赖升级为什么总翻车先说说依赖升级的“三座大山”：语义化版本号的陷阱。很多人以为4.16.0到4.21.0只是小版本升级，但Express这种大型框架，minor版本之间可能包含breaking change。package-lock.json锁住的子依赖树，在升级主版本后可能完全重构。