pnpm解决幽灵依赖问题

于 2025-04-18 18:27:44 发布
阅读量1.2k 收藏 9
点赞数 29
分类专栏: node.js 文章标签: typescript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Bruce__taotao/article/details/147338242
版权

文章目录

前言

1. npm/yarn 现在还有幽灵依赖问题吗?

有。

  • npm(包括 v9)和 yarn(classic/berry)默认依然采用“扁平化 node_modules”结构。
  • 只要依赖被扁平化安装到顶层 node_modules,项目代码就可以直接 require/导入未在本项目 package.json 声明的依赖(即幽灵依赖)。
  • 只要依赖树发生变化(比如间接依赖被移除),你的代码就会因为找不到依赖而报错。

2. pnpm 解决了幽灵依赖问题吗?

pnpm 基本解决了这个问题。

  • pnpm 采用了“严格的 node_modules 隔离”机制(hoisting less,严格依赖树)。
  • 每个包只能访问自己 package.json 里声明的依赖,不能直接 require 间接依赖。
  • 如果你在代码里 require 了未声明的依赖,pnpm 安装后运行会直接报错(找不到模块)。

3. pnpm 是如何解决的?

  • pnpm 在 node_modules 下采用了“软链接+隔离”结构。
  • 每个包的 node_modules 只包含自己声明的依赖(通过 symlink 指向全局 store),不会自动把所有依赖都扁平化到顶层。
  • 这样,只有在 package.json 里声明的依赖才能被 require 到,未声明的依赖不会被自动暴露出来。
举例说明

假设你的 package.json 没有声明 moment,但代码里用了:

const moment = require('moment');
  • 用 npm/yarn 安装,如果有其他依赖间接依赖了 moment,代码可能能跑。
  • 用 pnpm 安装,运行时会直接报错:Cannot find module 'moment'

1. pnpm 的 node_modules 结构原理

  • pnpm 不像 npm/yarn 那样把所有依赖都“扁平化”到顶层 node_modules。
  • pnpm 会在项目的 node_modules 下为每个包建立一个“虚拟隔离环境”,每个包只能访问自己 package.json 里声明的依赖。
  • 具体实现方式是:pnpm 在 node_modules 里用符号链接(symlink)指向全局 store 里的真实包内容,并且只为声明的依赖建立链接。

结构示意

假设你的项目结构如下:

project/
  node_modules/
    .pnpm/
      react@18.1.0/
      lodash@4.17.21/
    react -> .pnpm/react@18.1.0/node_modules/react
    lodash -> .pnpm/lodash@4.17.21/node_modules/lodash
    footer/
      node_modules/
        react -> ../../../.pnpm/react@18.1.0/node_modules/react
  • .pnpm 目录存放所有真实包内容。
  • node_modules/react 是指向 .pnpm/react@18.1.0/node_modules/react 的符号链接。
  • 每个包(如 footer)自己的 node_modules 只包含自己声明的依赖的链接。

2. 实际演示幽灵依赖的杜绝

步骤1:初始化项目并安装依赖

pnpm install

步骤2:在代码中引入未声明的依赖

假设 footer 包的 package.json 没有声明 moment,但你在代码里写了:

const moment = require('moment');

步骤3:运行代码

pnpm run start

结果:

Error: Cannot find module 'moment'

pnpm 会直接报错,因为 footer 的 node_modules 里没有 moment 的符号链接。

3. 查看 pnpm 的 node_modules 结构

你可以用如下命令查看符号链接结构:

tree /F node_modules

在 Windows 的 cmd 终端中,你可以使用 cd 命令切换到指定目录。
具体命令如下:

cd /d d:\js\getting-started-example

/d 参数用于切换驱动器(比如从 C: 切换到 D:)。

你会发现只有声明的依赖才会出现在每个包的 node_modules 里,未声明的依赖不会被暴露出来。

4. 总结

  • pnpm 通过“符号链接+隔离”机制,保证每个包只能访问自己声明的依赖,彻底杜绝了幽灵依赖。

  • 这样可以极大提升依赖安全性和可维护性,适合大型 Monorepo 项目。

  • npm/yarn:幽灵依赖问题依然存在,需靠开发者自律和工具检测(如 depcheck)。

  • pnpm:通过 node_modules 隔离机制,从根本上杜绝了幽灵依赖,强制每个包声明自己的依赖。

都2022年了,pnpm还不快到碗里来
倾听风的声音,跟随风的脚步!
01-25 4316
pnpm是一款当代备受关注的 新兴(问题较多) 包管理工具,使用过的同学们都会被它极快的安装速度、极少的磁盘存储空间所吸引!感兴趣的小伙伴赶紧点击学习吧。
pnpm、npm、yarn 包管理工具『优劣对比』及『环境迁移』
CTZL123456的博客
06-12 1053
博主在开发前端网站的时候,发现随着开发的项目的逐渐增多,安装的依赖包越来越臃肿,依赖包的安装速度也是非常越来越慢,多项目开发管理也是比较麻烦。之前我就了解过pnpm,但是当时担心更换包管理环境可能会出现的依赖问题,并且也没有急切的需求,所以当时并没有立即更换综上所述,随着上面问题的出现,更换包管理环境也逐渐提上日程,所以本文主要将会简单对比pnpm 和 npm / yarn,并且详细讲解如何在多项目环境中迁移到pnpm此时期主要是采用简单的递归依赖方法,最后形成高度嵌套的依赖树。
npm、yarn、pnpm —— 再谈幽灵依赖
LizequaNNN的博客
10-08 4775
之前我们讲过,“幽灵依赖” 就是:未在项目package.json中声明的依赖,但在项目中依然可以意外的被正确引用。
【1.8w字深入解析】从依赖地狱到依赖天堂:pnpm 如何革新前端包管理?
小庄zzz的博客
02-17 2366
在现代前端开发中,高效的包管理和依赖治理对于项目的健康发展至关重要。随着项目规模的不断扩大,传统的npm和yarn在处理依赖关系时可能会遇到诸如依赖重复安装磁盘空间浪费依赖版本冲突等问题。而pnpm(performant npm)作为新一代包管理工具,不仅显著提升了安装效率,还为项目依赖治理带来了全新的解决方案。本文将深入探讨pnpm的核心特性及其在实际项目中的应用。包管理工具的发展历程以及pnpm的独特优势产生幽灵依赖的根本原因探究什么是依赖结构的不确定性pnpm的工作原理及其相比npm。
幽灵依赖是什么,pnpm出现的意义,使用pnpm创建一个vue3项目
随便写写
06-26 5301
幽灵依赖是什么,pnpm出现的意义,使用pnpm创建一个vue3项目,配置eslint,prettier,stylint
解决前端项目幻影依赖问题的强力利器:pnpm
11-21 883
pnpm作为一款强力的包管理工具,在解决前端项目中幻影依赖问题方面表现得尤为出色。通过共享依赖项存储、硬链接和符号链接、版本锁定等策略,pnpm不仅优化了磁盘空间的利用,提高了安装速度,更有效地确保了项目依赖项的一致性。在开发过程中,使用pnpm可以为团队带来更加流畅、稳定的开发体验。如果您对这个话题有更多疑问或者想要分享您的经验, 欢迎通过微信([q3030946125])与我联系。让我们共同努力,确保前端项目在开发和线上环境中都能够如期运行。
npm vs pnpm幽灵依赖
李刚的学习专栏
08-07 1294
项目使用 npm 安装依赖可以正常运行,而使用 pnpm 安装依赖运行报错!使用 npm 安装,所有依赖都被提升到了 node_modules 下(npm@3之后的依赖扁平化,解决路径地狱);使用 pnpm 安装,只有直接依赖(package.json dependences 中声明)安装在 node_modules 下,其他在 .pnpm(扁平化) 目录下。
pnpm install会少依赖
02-28
此外,pnpm严格模式可能阻止访问未声明的依赖,这也是导致幽灵依赖问题的常见原因。 然后,要考虑用户的实际使用场景。用户可能是在迁移项目到pnpm时遇到问题,或者在新项目中安装依赖时发现某些模块缺失。需要给...
pnpm才是前端工程化项目的未来
weixin_65832899的博客
02-20 1203
pnpm才是前端工程化项目的未来
为什么用npm安装会安装不全依赖pnpm就可以?
最新发布
03-12
同时,pnpm的node_modules结构保持了依赖树的严格性,每个包只能访问自己明确声明的依赖,避免了幽灵依赖问题。这样即使多个包依赖不同版本,也能各自正确链接到对应的版本,不会遗漏或冲突。 需要进一步验证的是...
pnpm的原理和优势(monorepo)
wtswts1232的博客
06-15 557
硬连接:存储的物理磁盘上该文件的地址。比如这个文件是一个硬连接,通过它可以找到物理磁盘上该 mp4 数据的地址。软件连:是一个引用。它存储的是硬连接的地址。简而言之:它保存的是文件路径。如果将原文件删除,通过软链接无法再次打开原文件。
共享依赖的新选择:探索 PNPM 在低代码开发中的威力
Daoyiyun的博客
05-13 1363
为了解决前一代npm的问题,新一代的npm和yarn都采用了扁平化的node_modules结构,项目中的依赖依赖使用的依赖都会平铺在node_modules下,解决嵌套层级过深的问题,包也不会被重复被安装,如遇到版本不同的情况,则会进行版本提升。由于在旧项目中,一般使用的都是npm或yarn去下载依赖包,此时按照上面的说法,他们的node_modules将会是扁平化的结构,项目中的依赖依赖使用的依赖都会平铺在node_modules。此时无法通过软连接的方式查询到该依赖包,导致报错。
3、pnpm yarn npm、解决幽灵依赖pnpm的优点
imkaifan的博客
08-07 336
那如果说别的库也依赖了a,另一个库也依赖了a,那么会不会存在版本不一致的问题,两个库用到的a版本不一致问题。造成的问题:我可以直接去用这个包,但是这个包在package.json中却没有看到-----幽灵依赖。然后执行 pnpm i 使用pnpm重新对包进行一个管理或者重新更新一下node modules。原因: 比如说vue,vue内部有依赖了其余的包。工具又依赖了别的依赖。2、解决幽灵依赖(只能用在package.json里的包)node module 里却有很多的包。1、硬链接变成了软连接。
为什么说pnpm是最先进的包管理工具?
前端啤酒屋
07-06 995
什么是幽灵依赖?什么是依赖分身?对于这些包管理工具的设计问题来看看pnpm是怎么解决的。
Pnpm:高性能的 npm
Anton的博客
01-14 1570
pnpm,英文里面的意思叫做 performant npm ,意味“高性能的 npm”,官网地址可以参考 https://pnpm.io/ 什么是pnpm Pnpm 本质上就是一个包管理器,这一点跟 npm/yarn 没有区别,但它作为杀手锏的两个优势在于: 节约磁盘空间 提升安装速度 另外他还能解决 npm/yarn 【幽灵依赖】的问题 谁在使用 pnpm的特性 Store 安装的依赖包文件,会通过hard links硬链接的形式存储在pnpm创建的store目录下,默认情况下全局只会有一个
未来可期的包管理工具 pnpm,在字节多项目中已使用!
程序员成长指北
09-06 2508
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号回复1,加入高级Node交流群Hi~大家好,今天给大家介绍一个现代的包管理工具,名字叫做 pnpm,英文里面的意思...
pnpm取代npm进行包管理
热门推荐
凌晨港口
04-26 1万+
npm是Node.js内置的包管理工具。但是因对日益膨胀的包之间的依赖关系,有点跟不上发展。 虽然npm 3开始采用了扁平的依赖关系树来处理包的依赖。 面临项目中动不动就上千的包依赖,每次安装包就得好等一会,而且大量浪费磁盘空间。 虽然yarn着手解决于npm一些不足,主要是解决安装包版本的不确定性,使用本地缓存。 这在npm的后续版本中也进行了改进,使用了增加lock文件来确定安装包的版本。 ...
重学前端——npm yarn pnpm
zw52yany的博客
08-12 956
NPM yarn pnpm 的包安装机制原理 和 发展史 优缺点
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TE-茶叶蛋

踩坑不易,您的打赏,感谢万分

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值