语义化版本控制在实际项目中的应用与常见误区解析

语义化版本校验这玩意儿，真不是 npm version 一下就完事了

上周上线前打包 CI 报了个错：version not match semantic versioning spec。我第一反应是：啊？我刚在本地 npm version patch 过啊，还能不合法？结果打开 package.json 一看，版本号是 1.2.3-alpha.1+build.42 —— 嗯？这不就是标准 SemVer 2.0 吗？

后来折腾了半天发现：CI 里跑的校验脚本压根没用 npm 的逻辑，而是自己写了段正则去 parse 版本号，而且写错了。更魔幻的是，它把 +build.42 这部分当成了非法字符直接拒绝了。

这里我踩了个坑：一直以为只要 npm version 能过，就等于“语义化版本合规”。其实完全不是——npm 的 version 命令只做基础格式校验和 bump，不保证你后续手写的预发布标识或构建元数据符合规范。而很多团队自研的 CI/CD 流水线、私有 registry、甚至某些老旧的依赖解析器（比如某个内部 SDK 构建工具），压根不支持 build metadata（也就是 + 号后面那串），或者对 prerelease 格式极其敏感。

我翻了下 SemVer 官网 spec（v2.0.0）原文，关键几条得记牢：

• 主版本号.次版本号.修订号（X.Y.Z）必须存在
• 可选的预发布标识：以 - 开头，只能包含 ASCII 字母、数字、点号，且不能以点号开头或结尾，不能连续出现两个点号（1.0.0-alpha.1 ✅，1.0.0-alpha..1 ❌）
• 可选的构建元数据：以 + 开头，只允许 ASCII 字母、数字、点号、加号、冒号、下划线（1.0.0+20240520.build-42 ✅，1.0.0+build@42 ❌）
• 预发布标识优先级：按点分隔的每一段，数字按数值比，字母按字典序比（alpha < beta < rc < release）

问题来了：我们 CI 的校验函数长这样（伪代码）：

function isValidSemVer(str) {
  return /^(d+).(d+).(d+)(?:-([0-9A-Za-z.-]+))?$/.test(str);
}

看到没？它连 + 都没考虑，而且 prerelease 捕获组里还允许了连字符和点号混用，但没做“不能以点开头/结尾”“不能连续两点”的校验。结果我们发了个 1.2.3-beta.1.2，它居然通过了……但下游某 Java 服务用 Jackson 解析时直接报错，因为它的 SemVer parser 对 .2 这种 trailing dot 是严格拒绝的。

后来试了下发现：与其让每个团队各写一套半吊子正则，不如直接上官方推荐的库。Node 生态里最靠谱的是 semver 包（npm 官方维护，和 npm CLI 同源）。它不只是校验，还能做比较、满足范围匹配、提取 parts……关键是，它严格遵循 spec，连 1.0.0-rc.1+20240520 和 1.0.0-rc.1+20240521 的排序都给你算得明明白白。

最终我在 CI 的 pre-publish 脚本里加了这么一段（Node.js 环境）：

const semver = require('semver');

function validateVersion(versionStr) {
  if (!semver.valid(versionStr)) {
    console.error(❌ Invalid semantic version: "${versionStr}");
    console.error('✅ Valid example: "1.2.3", "1.2.3-alpha.1", "1.2.3+20240520"');
    process.exit(1);
  }

  // 额外检查：禁止带空格、制表符、不可见 Unicode 字符
  if (/s/u.test(versionStr)) {
    console.error(❌ Version contains whitespace: "${versionStr}");
    process.exit(1);
  }

  // 如果项目不支持 build metadata，强制剔除（我们内部 registry 就是这么干的）
  const cleanVersion = semver.clean(versionStr); // 去掉 +xxx
  if (cleanVersion !== versionStr) {
    console.warn(⚠️  Build metadata stripped: "${versionStr}" → "${cleanVersion}");
  }

  return cleanVersion;
}

// 读取 package.json
const pkg = require('./package.json');
const cleaned = validateVersion(pkg.version);
console.log(✅ Version validated: ${cleaned});

注意这里用了 semver.clean()，它会自动去掉 + 后面的构建元数据，并返回标准化后的版本（比如 1.2.3+abc → 1.2.3）。我们内部 registry 不认 +，所以干脆在 CI 里统一清理掉，避免上游发版后下游拉不到包。

顺手也给前端项目加了个运行时校验（虽然一般用不到，但防手抖）：

// utils/version.js
import { valid, satisfies } from 'semver';

export function assertValidVersion(version) {
  if (!valid(version)) {
    throw new Error(Invalid version string: ${version});
  }
}

// 比如组件库要求宿主 app 版本 >= 2.0.0
export function checkAppVersion(requiredRange = '>=2.0.0') {
  const appVersion = __APP_VERSION__; // 由构建时注入
  if (!satisfies(appVersion, requiredRange)) {
    console.warn(⚠️  App version ${appVersion} does not satisfy ${requiredRange});
  }
}

还有个小细节：TypeScript 类型提示。如果你用 semver，别忘了装类型定义：

npm install --save-dev @types/semver

否则 semver.gt('1.2.3', '1.2.2') 这种调用 TS 会报错。

改完之后 CI 顺利过了，但还是留了个小尾巴：我们有个老 Python 服务用的是 packaging.version 库，它对 1.2.3-beta.1 解析正常，但对 1.2.3-beta.1+2024 会把 + 当成分隔符切开，导致比较出错。最后解决方案是——在 Python 侧用正则提前把 + 替换成 - 再喂给库（比如 1.2.3-beta.1+2024 → 1.2.3-beta.1-2024），反正 build metadata 本来就不参与排序，换种写法也不影响业务逻辑。这个方案不优雅，但够用，上线后跑了三天没报错，我就先放着了。

总结下这次踩坑的核心点：

• 别迷信 npm version，它只是个 bump 工具，不是权威校验器
• CI/CD 中的版本校验逻辑必须和下游所有消费者的能力对齐（比如有的系统不支持 +，有的不支持 .beta，有的连 – 都不认）
• 正则写语义化版本校验？省省吧，spec 太细，自己写八成漏 case；直接上 semver 包，它连 1.0.0-rc.1+20240520.01 这种嵌套点号都吃得下
• build metadata（+ 后面）不是必需的，如果团队工具链不统一，宁可不用，或者像我们一样 CI 里统一 clean 掉

以上是我踩坑后的总结，希望对你有帮助。如果你有更好的方案（比如用 Rust 写个零依赖校验 CLI、或者用 AST 解析代替字符串匹配），欢迎评论区交流。