谈谈前端包管理工具 npm & yarn & pnpm

已于 2022-03-12 17:24:07 修改
阅读量1.5w 收藏 35
点赞数 5
分类专栏: 前端开发 文章标签: npm 前端 pnpm 包管理工具 yarn
于 2022-03-12 17:23:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wq18512847606/article/details/123446995
版权

为什么需要包管理工具?

每种主流编程语言都有包管理工具,比如 javaMavenGradlePythonpipnodejsnpmyarnpnpm 等。
包管理工具的主要作用是管理第三方依赖,也可以看成一个"轮子"工厂,每个人都可以上传自己造的"轮子"和下载使用别人的"轮子",
包管理工具顾名思义就是统一管理这些轮子的软件或者工具,它以多种方式自动处理项目依赖关系、提供了命令行工具(CLI)、支持跟踪依赖项和版本等功能,
除此之外还可以安装、卸载、更新和升级包,配置项目设置,运行脚本等等。
有了包管理工具,我们可以很简单地构建一个项目或者引入和管理一个库,留给我们的则是愉快地编码。

npm 不只是包管理工具,它是世界上最大的软件注册表(registry),每星期大约有 30亿次 的下载量,包含超过 600000个包,开发者使用 npm 互相分享和借鉴。

版本管理规范

版本管理规范 - 语义化版本控制规范 SemVer

在这里插入图片描述

在使用 npmyarn 安装完依赖时,package.json 会有类似以下的版本号:

"vue": "^2.6.11",
"vue-router": "~3.1.3"

2.6.113.1.3 这个版本号就是遵循了 SemVer 语义化版本控制的规范。

SemVer规范规定,版本的格式为:主版本号.次版本号.修订号-预发版本(可选),版本号递增规则如下:

  1. 主版本号:当你做了不兼容的 API 修改
  2. 次版本号:当你做了向下兼容的功能性新增
  3. 修订号:当你做了向下兼容的问题修正。
  4. 预发布版本:
    • alpha(Alpha 版本,通常用于进行中的工作和实验)
    • beta(Beta 版本,通常是下一个计划发布的功能完整的版本,但可能包含已知错误)
    • rc: 候选版本,通常是可能最终(稳定)的版本,除非出现重大错误。

在 nodejs 版本管理中,还允许使用 ~ ^ * 字符来管理版本的范围:

  • ^: 不允许修改最左边非0版本 (^2.6.11: 版本 >= 2.6.11 且 < 3.0.0)
  • ~: 如果指定了次要版本,则只允许补丁版本更新,如果没有,则允许次要版本更新 (~3.1.3: 版本 >= 3.1.3 且 < 3.2.0)
  • *: 任何非预发版本 (版本 >=0.0.0)

前端主流包管理工具

主流的前端包管理工具有 npmyarnpnpm、以及国内的镜像 cnpmtyarn 等,这是包管理器都是基于 nodejs

npm 是 2010 年发布的 nodejs 依赖管理工具,在此之前,前端的依赖管理都是手动下载和管理的。

yarn 是 Facebook 于 2016 年 发布的替代 npm 的包管理工具,还可以作为项目管理工具,定位是快速、可靠、安全的依赖管理工具。

pnpm 是 2017 年发布的一款替代 npm 包管理工具,具有速度快、节省磁盘空间的特点。

bd4df328d6324a94b12aefd0bf892687_tplv-k3u1fbpfcp-zoom-in-crop-mark_1304_0_0_0.png

2010:npm 发布,支持 Node.js。
2016:yarn 发布,生成 yarn.lock 文件用于确定 repos 的精确版本,并且比 npm 性能更好。
2017:npm 5 发布,提供类似 yarn.lock 的 package-lock.json 文件。
2017:pnpm 发布,pnpm 具有 yarn 相对于 npm 的所有附加功能,并解决了 yarn 没有解决的磁盘空间问题。
2018:npm 6 发布,在 npm 在安装依赖项之前检查安全漏洞,提高了安全性。
2020:yarn 2 和 npm 7 发布,这两个软件包都具有出色的新功能。
2021:yarn 3 发布并进行了各种改进。

yarn vs npm vs pnpm

包管理工具安装和版本切换

因为 node 预装了 npm ,所以安装 node 后,不需要手动安装 npm

相反地,yarn 需要手动安装。建议全局安装 yarn

npm install yarn -g

然后,我们在项目的根目录设置需要的 yarn 版本:

# yarn set version latest # 最新版
# yarn set version canary # 最新的经典版
# yarn set version classic # 最新的经典版
# yarn set version 3.x
yarn set version <version>

使用 Yarn,在每个项目我们可以使用不同的版本,而在 npm 中,要安装 nvm 才能完成版本切换。

同样的,pnpm 也需要全局安装,才能使用

npm install pnpm -g

pnpm 其他使用命令npm 使用方法一致。

安装项目依赖

在执行 npm install 安装项目依赖时,依赖项是顺序安装,并且终端会输出很多的警告日志,导致覆盖报错的日志,从而难以排查问题。

使用 yarn 安装依赖时,运行 yarn 命令即可,yarn 是并行安装依赖项,这是它比 npm 快的原因之一,yarn 1 中的日志比较简介干净,是以树形的形式显示,但是在 yarn 2yarn 3 中日志发生了变化,并不像以前直观。

并且,yarn 还支持离线安装,只要以前装过的包,可以在没有网络链接的情况下进行。yarn 具有重试机制,单个包安装失败不会导致整个安装失败。

yarn 安装不同版本的依赖时,会将多个版本归结为单个版本,避免创建多个副本。

npmyarnpnpm 常用命令

  • npm init| yarn init| pnpm init: 初始化命令

  • npm run| yarn run/yarn | pnpm: 运行脚本

  • npm publish| yarn publish: 发布包

  • npm cache clean| yarn cache clean:清除缓存

  • npm install| yarn | pnpm install/i: 安装所有依赖

  • npm install [package]| yarn add [package]| pnpm add [package]: 安装某个依赖项

  • npm install --save-dev/-D [package]| yarn add --dev/-D [package]| | pnpm add --dev/-D [package]: 安装开发依赖

  • npm uninstall [package]| yarn remove [package]| pnpm remove/rm [package]: 卸载依赖

  • npm update| yarn upgrade| pnpm update/up: 更新全部依赖

  • npm update [package]| yarn upgrade [package]| pnpm update/up [package]|: 更新某个依赖

安全性

npm 最不好的缺点之一就是安全性,曾经的版本发生过几个严重的安全漏洞, npm 6 开始则是在安装之前会检查安全漏洞,
并且支持使用 npm audit 手动检查安装包的安全性,如果发现安全问题,可以运行 npm audit fix 修复漏洞。
因为 npm/yarn 是扁平化依赖结构,有个非常严重的问题就是可以非法访问未声明的包,而 pnpm 是将依赖通过 link 的形式避免了非法访问依赖的问题,如果没在 package.json 声明的话,是无法访问的。

yarnpnpm 同样也支持 yarn/pnpm audit 手动检查安装包的安全性。

yarnnpm 都是使用 hash加密算法 确保包的完整性。

lock 文件

package.json 跟踪的依赖项和版本总是不准确的,因为 ~ ^ * 等前缀表示依赖更新时对应的版本范围。
范围版本可以在更新依赖时自动升级依赖到兼容性的次要版本或者补丁版本,让软件包支持最新的功能或者修复最近的错误。

所以,为了避免不同设备安装依赖时的版本不匹配的问题,在 lock 文件中定义了精确的安装版本。在每次新装(更新)依赖时,npmyarn 会分别
创建(更新) package-lock.jsonyarn.lock 文件。这样就能保证其他设备安装完全相同的包。

pnpm 中,则是使用 pnpm-lock.yaml 文件定义依赖包的精确版本。

性能对比

npm/pnpm/yarn/yarnPnp install 性能对比

测试 package.json 位置

actioncachelockfilenode_modulesnpmpnpmYarnYarn PnP
install51s14.4s39.1s29.1s
install5.4s1.3s707msn/a
install10.9s3.9s11s1.8s
install33.4s6.5s26.5s17.2s
install28.3s11.8s23.3s14.2s
install4.6s1.7s22.1sn/a
install6.5s1.3s713msn/a
install6.1s5.4s41.1sn/a
updaten/an/an/a5.1s10.7s35.4s28.3s


根据上面的测试结果我们可以看出,首次执行 npm install 安装依赖时 pnpmnpmyarn 大约快了 3 倍左右,在有缓存和已安装过依赖的情况,比 npm 也快了不少,yarn 则是更快,其他场景 pnpm 也是占了很大优势。

pnpm 的优势
速度很快、节约空间

pnpm 的所有依赖包统一存储在 store,不会出现像 npmyarn 每个项目会下载独立的依赖,yarn 是从缓存下载文件,而 pnpm 是从 store 中链接依赖,pnpm 更节约空间,
当安装某个依赖时,新项目会使用硬链接到 store 的这个依赖,多个项目不会出现多次安装依赖的情况,磁盘只有一次写入。
对于依赖的不同版本,在 pnpm 中,则只会保存增量文件。比如:某个包有100个文件,如果更新版本只会修改其中的一个文件,不会因为新版本的存在而保存所有的依赖文件。
因为 pnpm 的依赖包存储在 store 同样也支持离线安装的功能。

没有扁平化 node_modules 结构

pnpm 不会扁平化依赖数,它的 node_modules 布局使用符号链接来创建依赖关系的嵌套结构。
pnpm 所有包都有自己的依赖项组合在一起,内部每个包使用符号链接将它们组合在一起。

一个 vue3 项目pnpm node_modules 结构

modules-tree-1.png

vite 包的 pnpm 结构

modules-tree.png

参考链接

FBm2016
关注
专栏目录
前端工程化<npm、cnpmyarn、npx、pnpm管理工具
m0_51431448的博客
10-25 2619
平时工作中,像npm、cnpmyarn等一些工具都是经常经常用的,但可能对里面的一些细节都没太在意,所以这篇就来总结一下加深印象和理解。另外还有pnpm的原理及使用,以及它的优势
超越npmyarn管理工具,为什么说pnpm才是工程化项目的未来。
发果叁
08-25 2055
npmyarn更快速的依赖下载比npmyarn更高效的利用磁盘空间比npmyarn更优秀的依赖管理。
前端-管理工具-yarn-yarn使用方法
11-12
前端-管理工具-yarn。###### **初始化一个新项目** ``` yarn init ``` ###### **添加依赖** ``` yarn add [package] yarn add [package]@[version] yarn add [package]@[tag] ``` ###### **将依赖项添加到不同依赖项类别中**
扒一扒前端管理器
weixin_30509393的博客
04-28 155
好久没有写文章了,前端时间一直瞎忙,最近总算有空闲时间可以好好学习下了,今天和大家分享一下有关前端管理器的东西,主要把工作中常用的bower与最近一直在研究的browserify、duo以及快过时的component进行了一下介绍与对比,都是干货,希望大家勿喷。啦啦啦,话不多说,开始吧: 一、Bower Bower 是 twitter 推出的一款管理工具,基于nodejs的模块...
前端】NodeJS:管理工具
最新发布
weixin_45980065的博客
08-10 2101
:package,代表了一组特定功能的源码集合。cnpm是一个淘宝构建的npmjs.com的完整镜像,也称为『淘宝镜像』,网址。cnpm服务部署在国内阿里云服务器上,可以提高的下载速度。官方也提供了一个全局工具cnpm,操作命令与npm大体相同。。
前端-管理器
知识点沉淀包括不限于前端
03-25 1275
npm yarn pnpm 三者对比
NPM详解!前端管理工具
SYJ的博客
07-29 375
NPM全称NodePackageManager,是Node.js管理工具,是全球最大的模块生态系统,里面所有的模块都是开源免费的;也是Node.js的管理工具,相当于前端的Maven。
前端管理工具浅谈(pnpmnpmyarn
柠檬的博客
05-10 921
一、pnpm Fast, disk space efficient package manager 官网对比图: 特点: 1、高效利用磁盘空间: 使用基于内容寻址的文件系统来存储磁盘上所有的文件,更新增量部分 如果你用到了某依赖项的不同版本,只会将不同版本间有差异的文件添加到仓库。 例如,如果某个有100个文件,而它的新版本只改变了其中1个文件。那么pnpm update时只会向存储中心额外添加1个新文件,而不会因为仅仅一个文件的改变复制整新版本的内容。 所有文件都会存储在...
ci:使用适当的节点程序管理器(npmyarn,pnpm)运行npm ci
04-30
程序管理器强制性锁定文件安装。 支持 , 和 。 在您的npm项目中尝试一下。 它具有零依赖关系,并且发展Swift! $ npx ci 如果您喜欢这个项目,请给它加注星标并,看看我正在从事哪些其他有趣的项目! :red_...
nodejs第五天 npm yarn pnpm 管理器
weixin_45621877的博客
03-07 527
node中的管理器叫做npm(node package manage),我们可以将自己开发的上传到npm中共别人使用,也可以直接从npm中下载别人开发好的。version(必备:版本号,规则:1.0.0 最后一个是修复bug,中间是增加功能,第一个是更新功能,会影响兼容。3.会自动添加package.lock.json文件,用来记录当前项目的下的结构和版本的,提升重新下载的速度。npm在安装node时已经捆绑一起安装了,查看npm是否安装。前边的 ^ 表示匹配最新的4.x.x的版本,如果是"
Web前端开发工具——bower依赖管理工具
11-24
Bower 是 twitter 推出的一款管理工具,基于nodejs的模块化思想,把功能分散到各个模块中,让模块和模块之间存在联系,通过 Bower 来管理模块间的这种联系。 管理工具一般有以下的功能: a)注册机制:每个需要确定一个唯一的 ID 使得搜索和下载的时候能够正确匹配,所以管理工具需要维护注册信息,可以依赖其他平台。 b)文件存储:确定文件存放的位置,下载的时候可以找到,当然这个地址在网络上是可访问的。 c)上传下载:这是工具的主要功能,能提高使用的便利性。比如想用 jquery 只需要 install 一下就可以了,不用到处找下载。上传并不是必备的,根据文件存储的位
前端开发中常用的管理工具
Itmastergo的博客
02-02 1296
前端开发中,管理工具是不可或缺的工具之一,它们可以帮助开发人员管理项目中的依赖项、模块化代码、版本控制以及构建优化等方面。
管理工具 - Bower 介绍
热爱思考、活力满满、开朗爱笑的年轻人
07-08 1275
bower Bower是一个客户端技术的软件管理器,它可用于搜索、安装和卸载如JavaScript、HTML、CSS之类的网络资源。bower 可以很方便的管理你的项目依赖。解决不同项目版本之间依赖不同的的问题。
前端工程化07-常见的管理工具npmyarn、cnpm、npx
沉睡的猫的博客
05-20 1350
npm管理工具、在安装node的时候这个东西就已经安装过了,通过npm去管理的时候这个时候回有一个配置文件叫做package.json,他是以json的方式来书写对应的一个配置文件,这个配置文件是可以添加特别多的一些字段的,每个字段字段是什么意思呢?学习一些核心的字段都是什么意思。另外如果我们想通过npm去安装我们对应的一个的时候,我们需要使用这个命令,我们需要学习他的原理,到底是从缓存拿的还是从服务器拿的。还有一些别的管理工具,比如yarn、cnpm、npx,yarn这个东西在早期的时候,有一点点
学习Bower -- 前端开发管理工具
Even丶的专栏
05-24 1799
和过去相比,现在的前端开发有更多的库和框架可以使用。一般情况下,一个项目中至少需要使用到五个以上的库。但是持续关注这些库并确保它们更新到最新版本是一件很麻烦的事情。还好,现在我们有了Bower,一个可以帮助你管理你的应用的前端依赖库的管理器。安装BowerBower可以使用npm来安装,如果你安装了node,那么npm也默认一起被安装到了你的电脑里。打开命令行终端,输入并运行下面命令:(sudo)
前端笔记】前端管理工具和构建打工具介绍之npmyarn、webpack、vite
qq_30436011的博客
12-01 3075
yarnNPM的作用是相同的,都是用于管理软件依赖,yarn解决了NPM的缺点,对NPM进行了改进,yarn的下载速度比NPM更快、更安全。yarn下载软件之后,会在你的电脑本地缓存起来,下一次不会从镜像库重新下载,而是从本地镜像库中获取对应的。webpack是基于node.js开发(只能用于node项目里面)的一款前端构建的工具,它可以将前端各个模块打成一个或者多个文件,这样就可以减少文件数量,也就可以减少浏览器请求的数量,从而提高访问效率。
前端各种管理工具简述
我能在河边钓一整天的鱼
03-01 2527
npm&cnpm&yarn&tyarn npm是名声最广的前端管理器,为Node.js自带 cnpmnpm的阿里版,用的是阿里的源 yarn的出现是想取代npm管理工具,特点是快速安全可靠 tyarn这个是yarn的阿里版,用的是阿里的源 ...
前端开发入门:管理工具bower
chenleismr的专栏
01-04 1952
什么是Bower? Bower是一个客户端技术的软件管理器,它可用于搜索、安装和卸载如JavaScript、HTML、CSS之类的网络资源。一个适合Web应用的管理器,它擅长前端管理,通过其API展示了依赖模型。使得项目不存在系统级的依赖,不同的应用程序间也不会共享依赖,整个依赖树是扁平的。 管理是个复杂的问题,我们要知道谁依赖谁,还要明确哪个版本依赖哪个版本。这些对于开发人员
npm pnpm yarn
09-15
npm、pnpmyarn都是用于管理Node.js项目中的依赖关系的工具。 npm是Node Package Manager的缩写,是Node.js官方提供的管理工具。它可以用来下载、安装、更新和删除项目所需的各种。 pnpm是一个快速、高效的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值