主流包管理工具npm、yarn、cnpm、pnpm之间的区别与联系——原理篇

接触 node 之后，一直使用npm包管理工具， cnpm 一开始会用一些，但是并没有觉得比 npm 快得多，使用 cnpm 的时候还经常安装不成功，只能再用 npm 安装一遍，渐渐的就弃用了 cnpm 。

最近在看《MongoDB高级技术栈全覆盖前端 Vue+Node+MongoDB高级全栈开发》课程，才知道还有其他包管理工具，借此机会，好好的整理一下各个包管理工具之间的区别和联系。

NPM

npm 是 Node.js 能够如此成功的主要原因之一。npm 团队做了很多的工作，以确保 npm 保持向后兼容，并在不同的环境中保持一致。

npm是围绕着 语义版本控制（semver）的思想而设计。

给定一个版本号：主版本号.次版本号.补丁版本号， 以下这三种情况需要增加相应的版本号：

• 主版本号： 当API发生改变，并与之前的版本不兼容的时候
• 次版本号： 当增加了功能，但是向后兼容的时候
• 补丁版本号：当做了向后兼容的缺陷修复的时候

npm使用一个名为package.json的文件，用户可以通过npm install --save命令把项目里所有的依赖项保存在这个文件里。

例如，运行npm install --save lodash会将以下几行添加到package.json文件中。

1.  
   "dependencies": {
2.  
   "lodash": "^4.17.4"
3.  
   }

解析，

• ^字符，告诉npm，安装主版本等于4的任意一个版本即可
• 现在运行npm进行安装，npm将安装lodash的主版本为4的最新版，可能是 lodash@4.25.5（@是npm约定用来确定包名的指定版本的）
• 理论上，次版本号的变化并不会影响向后兼容性。因此，安装最新版的依赖库应该是能正常工作的，而且能引入自4.17.4版本以后的重要错误和安全方面的修复。
• 但是，即使不同的开发人员使用了相同的package.json文件，在他们自己的机器上也可能会安装同一个库的不同种版本，这样就会存在潜在的难以调试的错误和“在我的电脑上…”的情形。

大多数npm库都严重依赖于其他npm库，这会导致嵌套依赖关系，并增加无法匹配相应版本的几率。

虽然可以通过npm config set save-exact true命令关闭在版本号前面使用^的默认行为，但这个只会影响顶级依赖关系。由于每个依赖的库都有自己的package.json文件，而在它们自己的依赖关系前面可能会有^符号，所以无法通过package.json文件为嵌套依赖的内容提供保证。

为了解决这个问题，npm提供了shrinkwrap命令。此命令将生成一个npm-shrinkwrap.json文件，为所有库和所有嵌套依赖的库记录确切的版本。

然而，即使存在npm-shrinkwrap.json这个文件，npm也只会锁定库的版本，而不是库的内容。即便npm现在也能阻止用户多次重复发布库的同一版本，但是npm管理员仍然具有强制更新某些库的权力。

这是引用自shrinkwrap文档的内容：

如果你希望锁定包中的特定字节，比如是为了保证能正确地重新部署或构建，那么你应该在源代码控制中检查依赖关系，或者采取一些其他的机制来校验内容，而不是靠校验版本。

npm 2会安装每一个包所依赖的所有依赖项。如果我们有这么一个项目，它依赖项目A，项目A依赖项目B，项目B依赖项目C，那么依赖树将如下所示：

1.  
   node_modules
2.  
   - package-A
3.  
   -- node_modules
4.  
   --- package-B
5.  
   ----- node_modules
6.  
   ------ package-C
7.  
   -------- some-really-really-really-long-file-name-in-package-c.js

这个结构可能会很长。这对于基于Unix的操作系统来说只不过是一个小烦恼，但对于Windows来说却是个破坏性的东西，因为有很多程序无法处理超过260个字符的文件路径名。

npm 3采用了扁平依赖关系树来解决这个问题，所以我们的3个项目结构现在看起来如下所示：

1.  
   node_modules
2.  
   - package-A
3.  
   - package-B
4.  
   - package-C
5.  
   -- some-file-name-in-package-c.js

这样，一个原来很长的文件路径名就从./node_modules/package-A/node_modules/package-B/node-modules/some-file-name-in-package-c.js变成了/node_modules/some-file-name-in-package-c.js。

这种方法的缺点是，npm必须首先遍历所有的项目依赖关系，然后再决定如何生成扁平的node_modules目录结构。npm必须为所有使用到的模块构建一个完整的依赖关系树，这是一个耗时的操作，是npm安装速度慢的一个很重要的原因。

想当然的以为每次运行npm install命令时，NPM都得从互联网上下载所有内容。

但是，npm是有本地缓存的，它保存了已经下载的每个版本的压缩包。本地缓存的内容可以通过npm cache ls命令进行查看。本地缓存的设计有助于减少安装时间。

总而言之，npm是一个成熟、稳定、并且有趣的包管理器。

cnpm

• cnpm跟npm用法完全一致，只是在执行命令时将npm改为cnpm。
• npm安装插件是从国外服务器下载，受网络影响大，可能出现异常，如果npm的服务器在中国就好了，于是淘宝团队干了这事。来自官网：“这是一个完整 npmjs.org 镜像，你可以用此代替官方版本(只读)，同步频率目前为 10分钟 一次以保证尽量与官方服务同步。”
• 官方地址：http://npm.taobao.org
• 安装：$ npm install -g cnpm --registry=https://registry.npm.taobao.org

Yarn

Yarn发布于2016年10月，截至当前2018年7月，在Github上拥有了32.2k个Star。而npm只有16.8k个Start。这个项目由一些高级开发人员维护，包括了Sebastian McKenzie（Babel.js）和Yehuda Katz（Ember.js、Rust、Bundler等）。

Yarn一开始的主要目标是解决上一节中描述的由于语义版本控制而导致的npm安装的不确定性问题。虽然可以使用npm shrinkwrap来实现可预测的依赖关系树，但它并不是默认选项，而是取决于所有的开发人员知道并且启用这个选项。

Yarn采取了不同的做法。每个yarn安装都会生成一个类似于npm-shrinkwrap.json的yarn.lock文件，而且它是默认创建的。除了常规信息之外，yarn.lock文件还包含要安装的内容的校验和，以确保使用的库的版本相同。

yarn是经过重新设计的崭新的npm客户端，它能让开发人员并行处理所有必须的操作，并添加了一些其他改进。

• 运行速度得到了显著的提升，整个安装时间也变得更少
• 像npm一样，yarn使用本地缓存。与npm不同的是，yarn无需互联网连接就能安装本地缓存的依赖项，它提供了离线模式。这个功能在2012年的npm项目中就被提出来过，但一直没有实现。
• 允许合并项目中使用到的所有的包的许可证

通常情况下不建议通过npm进行安装。npm安装是非确定性的，程序包没有签名，并且npm除了做了基本的SHA1哈希之外不执行任何完整性检查，这给安装系统程序带来了安全风险。

npm install -g yarn

强烈建议你通过最适合于你的操作系统的安装方法来安装yarn，进官网下载对应版本

yarn官方地址：https://yarnpkg.com/zh-Hans/ 点击打开链接

pnpm

可阅读pnpm的作者Zoltan Kochan发表的“为什么要用pnpm？”

• pnpm运行起来非常的快，超过了npm和yarn
• pnpm采用了一种巧妙的方法，利用硬链接和符号链接来避免复制所有本地缓存源文件，这是yarn的最大的性能弱点之一
• 使用链接并不容易，会带来一堆问题需要考虑。
• pnpm继承了yarn的所有优点，包括离线模式和确定性安装

总结

• npm仍然提供了一个非常有用的解决方案，支持大量的测试用例。大多数开发人员使用原始npm客户端仍然可以做得很好
• yarn的确定性安装，可以避免很多潜在的问题，相对安全
• pnpm可能是一些测试用例的更好的选择。例如，它可以在运行大量集成测试并希望尽可能快地安装依赖关系的中小型团队中发挥作用

与君共勉：再牛逼的梦想，也抵不住傻逼般的坚持！