主流包管理工具npm、yarn、cnpm、pnpm之间的区别与联系——原理篇

接触 node 以后，一直使用npm包管理工具， cnpm 一开始会用一些，可是并无以为比 npm 快得多，使用 cnpm 的时候还常常安装不成功，只能再用 npm 安装一遍，渐渐的就弃用了 cnpm 。

最近在看《MongoDB高级技术栈全覆盖前端 Vue+Node+MongoDB高级全栈开发》课程，才知道还有其余包管理工具，借此机会，好好的整理一下各个包管理工具之间的区别和联系。

NPM

npm 是 Node.js 可以如此成功的主要缘由之一。npm 团队作了不少的工做，以确保 npm 保持向后兼容，并在不一样的环境中保持一致。

npm是围绕着 语义版本控制（semver）的思想而设计。

给定一个版本号：主版本号.次版本号.补丁版本号， 如下这三种状况须要增长相应的版本号：

• 主版本号： 当API发生改变，并与以前的版本不兼容的时候
• 次版本号： 当增长了功能，可是向后兼容的时候
• 补丁版本号：当作了向后兼容的缺陷修复的时候

npm使用一个名为package.json的文件，用户能够经过npm install --save命令把项目里全部的依赖项保存在这个文件里。

例如，运行npm install --save lodash会将如下几行添加到package.json文件中。

1.  
   "dependencies": {
2.  
   "lodash": "^4.17.4"
3.  
   }

解析，

• ^字符，告诉npm，安装主版本等于4的任意一个版本便可
• 如今运行npm进行安装，npm将安装lodash的主版本为4的最新版，多是 lodash@4.25.5（@是npm约定用来肯定包名的指定版本的）
• 理论上，次版本号的变化并不会影响向后兼容性。所以，安装最新版的依赖库应该是能正常工做的，并且能引入自4.17.4版本之后的重要错误和安全方面的修复。
• 可是，即便不一样的开发人员使用了相同的package.json文件，在他们本身的机器上也可能会安装同一个库的不一样种版本，这样就会存在潜在的难以调试的错误和“在个人电脑上…”的情形。

大多数npm库都严重依赖于其余npm库，这会致使嵌套依赖关系，并增长没法匹配相应版本的概率。

虽然能够经过npm config set save-exact true命令关闭在版本号前面使用^的默认行为，但这个只会影响顶级依赖关系。因为每一个依赖的库都有本身的package.json文件，而在它们本身的依赖关系前面可能会有^符号，因此没法经过package.json文件为嵌套依赖的内容提供保证。

为了解决这个问题，npm提供了shrinkwrap命令。此命令将生成一个npm-shrinkwrap.json文件，为全部库和全部嵌套依赖的库记录确切的版本。

然而，即便存在npm-shrinkwrap.json这个文件，npm也只会锁定库的版本，而不是库的内容。即使npm如今也能阻止用户屡次重复发布库的同一版本，可是npm管理员仍然具备强制更新某些库的权力。

这是引用自shrinkwrap文档的内容：

若是你但愿锁定包中的特定字节，好比是为了保证能正确地从新部署或构建，那么你应该在源代码控制中检查依赖关系，或者采起一些其余的机制来校验内容，而不是靠校验版本。

npm 2会安装每个包所依赖的全部依赖项。若是咱们有这么一个项目，它依赖项目A，项目A依赖项目B，项目B依赖项目C，那么依赖树将以下所示：

1.  
   node_modules
2.  
   - package-A
3.  
   -- node_modules
4.  
   --- package-B
5.  
   ----- node_modules
6.  
   ------ package-C
7.  
   -------- some-really-really-really-long-file-name-in-package-c.js

这个结构可能会很长。这对于基于Unix的操做系统来讲只不过是一个小烦恼，但对于Windows来讲倒是个破坏性的东西，由于有不少程序没法处理超过260个字符的文件路径名。

npm 3采用了扁平依赖关系树来解决这个问题，因此咱们的3个项目结构如今看起来以下所示：

1.  
   node_modules
2.  
   - package-A
3.  
   - package-B
4.  
   - package-C
5.  
   -- some-file-name-in-package-c.js

这样，一个原来很长的文件路径名就从./node_modules/package-A/node_modules/package-B/node-modules/some-file-name-in-package-c.js变成了/node_modules/some-file-name-in-package-c.js。

这种方法的缺点是，npm必须首先遍历全部的项目依赖关系，而后再决定如何生成扁平的node_modules目录结构。npm必须为全部使用到的模块构建一个完整的依赖关系树，这是一个耗时的操做，是npm安装速度慢的一个很重要的缘由。

想固然的觉得每次运行npm install命令时，NPM都得从互联网上下载全部内容。

可是，npm是有本地缓存的，它保存了已经下载的每一个版本的压缩包。本地缓存的内容能够经过npm cache ls命令进行查看。本地缓存的设计有助于减小安装时间。

总而言之，npm是一个成熟、稳定、而且有趣的包管理器。

cnpm

• cnpm跟npm用法彻底一致，只是在执行命令时将npm改成cnpm。
• npm安装插件是从国外服务器下载，受网络影响大，可能出现异常，若是npm的服务器在中国就行了，因而淘宝团队干了这事。来自官网：“这是一个完整 npmjs.org 镜像，你能够用此代替官方版本(只读)，同步频率目前为 10分钟 一次以保证尽可能与官方服务同步。”
• 官方地址：http://npm.taobao.org
• 安装：$ npm install -g cnpm --registry=https://registry.npm.taobao.org

Yarn

Yarn发布于2016年10月，截至当前2018年7月，在Github上拥有了32.2k个Star。而npm只有16.8k个Start。这个项目由一些高级开发人员维护，包括了Sebastian McKenzie（Babel.js）和Yehuda Katz（Ember.js、Rust、Bundler等）。

Yarn一开始的主要目标是解决上一节中描述的因为语义版本控制而致使的npm安装的不肯定性问题。虽然可使用npm shrinkwrap来实现可预测的依赖关系树，但它并非默认选项，而是取决于全部的开发人员知道而且启用这个选项。

Yarn采起了不一样的作法。每一个yarn安装都会生成一个相似于npm-shrinkwrap.json的yarn.lock文件，并且它是默认建立的。除了常规信息以外，yarn.lock文件还包含要安装的内容的校验和，以确保使用的库的版本相同。

yarn是通过从新设计的崭新的npm客户端，它能让开发人员并行处理全部必须的操做，并添加了一些其余改进。

• 运行速度获得了显著的提高，整个安装时间也变得更少
• 像npm同样，yarn使用本地缓存。与npm不一样的是，yarn无需互联网链接就能安装本地缓存的依赖项，它提供了离线模式。这个功能在2012年的npm项目中就被提出来过，但一直没有实现。
• 容许合并项目中使用到的全部的包的许可证

一般状况下不建议经过npm进行安装。npm安装是非肯定性的，程序包没有签名，而且npm除了作了基本的SHA1哈希以外不执行任何完整性检查，这给安装系统程序带来了安全风险。

 

npm install -g yarn

强烈建议你经过最适合于你的操做系统的安装方法来安装yarn，进官网下载对应版本

yarn官方地址：https://yarnpkg.com/zh-Hans/ 点击打开连接

pnpm

可阅读pnpm的做者Zoltan Kochan发表的“为何要用pnpm？”

• pnpm运行起来很是的快，超过了npm和yarn
• pnpm采用了一种巧妙的方法，利用硬连接和符号连接来避免复制全部本地缓存源文件，这是yarn的最大的性能弱点之一
• 使用连接并不容易，会带来一堆问题须要考虑。
• pnpm继承了yarn的全部优势，包括离线模式和肯定性安装

总结

• npm仍然提供了一个很是有用的解决方案，支持大量的测试用例。大多数开发人员使用原始npm客户端仍然能够作得很好
• yarn的肯定性安装，能够避免不少潜在的问题，相对安全
• pnpm多是一些测试用例的更好的选择。例如，它能够在运行大量集成测试并但愿尽量快地安装依赖关系的中小型团队中发挥做用

与君共勉：再牛逼的梦想，也抵不住傻逼般的坚持！