51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

剖析Npm、Yarn 与 Pnpm 依赖管理逻辑

作者:匡凌熙
开发 前端
我们在项目开发的过程中会引用到各种不同的库,各种库又依赖了其他不同的库,这些依赖应该如何进行管理,今天这篇文章主要聊的就是这个事情。

[[437341]]

我们在项目开发的过程中会引用到各种不同的库,各种库又依赖了其他不同的库,这些依赖应该如何进行管理,今天这篇文章主要聊的就是这个事情。

npm2的依赖管理npm2 安装依赖的时候比较简单直接,直接按照包依赖的树形结构下载填充本地目录结构。

比如在项目中A和 C 都依赖 B,无论被依赖的 B 是否是同一个版本,都会直接无脑的生成对应的树结构,比如我们现在有下面的依赖:

  • A@2.0.0:BaseA@1.0.0 BaseB@2.0.0
  • B@3.0.0:BaseA@1.0.0 BaseB@2.0.1

那么npm i之后node_modules里面生成的内容将是下面这样的

这样的结构非常直观,但是有一个问题就是,如果项目的依赖过多的话,可能导致下面这些问题:

  1. 生成的依赖嵌套非常深
  2. 相同版本的依赖大量冗余

npm3/yarn的依赖管理

npm3对于npm2的情况进行了优化,那么如何进行优化呢?其实我们最直观的思路就是将树打平,将依赖扁平化,不就能解决嵌套过深和依赖冗余的问题。所以,在上面的例子中,如果我们用npm3来进行install,最后生成的node_modules会是这样的结构:

这样看起来是不是就好多了,但是此时会有什么问题呢?我们实操一下试试看。在项目中安装A和B

可以看到我们项目本身的依赖文件里面只有a_klx和b_klx,但是执行完npm i命令后却发现多了几个我们没有引入的包a_base_klx和b_base_klx。

其实这是由a_klx和b_klx本身自己引入的npm包,但是却出现在了我们的node_modules下。那么如果我们直接使用这两个包会有什么反应呢?

可以看到,我们是可以正常使用这两个我们并未声明在依赖中的npm包的,因为这两个包存在于我们项目的node_modules下,根据npm包的查找规则,我们是可以找到这两个包的。所以这种依赖关系就导致了下面两个问题:

  1. 我们项目本身的node_modules结构不够直观
  2. 依赖不安全,我们可以使用依赖文件中并没有声明的npm包

其实第一点的问题并不是很大,主要是第二点可能会导致一些奇怪的问题。以我们之前的例子来说,我们可以直接在项目里面直接使用a_base_klx,因为node_modules里面这两个包实际上是存在的,但是他们又不是永远存在的。万一有一天,a_klx和b_klx里都去除了这两个基础包的引用,node_modules里面将不再存在a_base_klx和b_base_klx,那么我们的代码就会出现问题...也就是:

我的代码啥也没动,放了一个晚上就坏了!

同时,我们对于这种处理方式其实很容易有一个疑问,如果我同时引用了同一个包的多个不同版本,会帮我把哪个包提出来,同时我每次npm i之后提出来的包版本都是一样的吗?会不会存在这次是2.0.0版本下次是2.0.1版本的情况,比如我们下面这种情况:

  • A@1.0.0:BaseA@1.0.0 BaseB@2.0.0
  • B@1.0.0:BaseA@1.0.0 BaseB@2.0.1
  • D@1.0.0:BaseA@1.0.0 BaseB@2.0.1

生成的依赖是下面这样的:

还是下面这样的:

其实看起来后面这个更合理,因为有两个包用到了2.0.1版本,将它提出来更好,我们实际操作一下试试:

被提到最外层的包是2.0.0版本的,然后b_klx和d_klx的node_modules下面各自有一个 b_base_klx@2.0.1这一块的内容自己查了一下,大部分说法是会根据package.json里面的顺序决定谁会被提出来,放在前面的包依赖的内容会被先提出来。

不过自己实操了一下发现并不是这样,即使我把b_klx或者d_klx移到最前面,被提出来的包依然是a_klx依赖的2.0.0版本,随后自己翻了一下npm的源码,发现内部其实会对拿到的依赖列表进行一些处理

最终会通过localeCompare方法对依赖进行一次排序,所以字典序在前面的npm包的底层依赖会被优先提出来,对于我们的例子来说就是a_klx所依赖的b_base_klx@2.0.0会被优先提出来。

pnpm的依赖管理

pnpm为了解决上述这些问题,采用了一种不同于npm/yarn的依赖管理方式。

如果我们用pnpm再来安装一遍上面的依赖,会发现项目的node_modules文件夹只有当前package.json中所声明的各个依赖(的软连接),而真正的模块文件,存在于node_modules/.pnpm,由模块名@版本号形式的文件夹扁平化存储(解决依赖重复安装)。同时这样设计,也很好的避免了之前可以访问非法npm包的问题,因为当前项目的node_modules只有我们声明过的依赖,这也让node_modules里面的文件看起来非常的直观。

同时,node_modules/.pnpm中存储的文件其实是pnpm实际缓存文件的「硬链接」,从而避免了多个项目带来多份相同文件引起的空间浪费问题。

但是说到硬链接,又有一个问题,这相当于所有项目都依赖了同一个文件,那么在一个项目中修改了某个npm包的文件,就会影响到其他项目,这对于postinstall是很不友好的。随后继续实操了一下,确实在不同项目中修改了某个npm包后会影响到其他项目。同时自己平时有时候也会直接在node_modules里面调试一些东西..感觉这种处理方式对于这种操作来说也不是很友好。

但是从pnpm的官网来看,其实它默认会使用copy-on-write 的方式来进行处理,也就是如果你尝试对内容进行修改的话,会复制一份文件而不会影响到源文件。

然后它不生效的原因似乎是因为libuv的bug:https://github.com/pnpm/pnpm/issues/2761,所以在copy-on-write不生效的情况下被回退到了hardlink 的方式去处理。

参考文档:

https://pnpm.io/npmrc#package-import-method

https://github.com/pnpm/pnpm/issues/2761

 

责任编辑:姜华 来源: Tecvan
npm包管理器工具
相关推荐
彻底搞懂 npmyarn pnpm 依赖管理逻辑
我们在项目开发的过程中会引用到各种不同的库,各种库又依赖了其他不同的库,这些依赖应该如何进行管理,今天这篇文章主要聊的就是这个事情。

2022-02-25 14:19:56

依赖管理前端命令
npmpnpmyarn,npx的那些事儿
pnpm起初看起来像npm,因为它们的CLI用法相似,但管理依赖项却大不相同;pnpm的方法带来更好的性能和最佳的磁盘空间效率。YarnClassic仍然很受欢迎,但它被认为是遗留软件,并且在不久的将来可能会放弃支持。YarnBerryPnP是新贵,但尚未看到它彻底改变包管理器领域的潜力。

2022-09-16 22:23:35

pnpmCLI软件
前端包管理器对比 npmyarnpnpm
本文先从前端包管理器的发展开始说起,对比npm、yarn和pnpm的差异,最后再通过详细介绍pnpm的特性来说明为什么现在前端包管理更推荐使用pnpm。

2022-02-28 10:22:08

前端管理工具
聊聊前端包管理器对比NpmYarnPnpm
本文将从前端包管理器的发展开始说起,然后对比npm、yarn和pnpm。

2022-02-21 09:58:31

包管理器npmyarn
关于包管理NpmYarnPnpm的一些总结
对于存储大量依赖的情况,pnpm提供了「pnpmstoreprune」命令,可以定期清理不再使用的依赖项,释放磁盘空间。

2023-04-12 00:00:40

Node.jsMonoreponpm
Pnpm 是凭什么对 NpmYarn 降维打击的
今天研究了一下它的机制,确实厉害,对yarn和npm可以说是降维打击。那具体好在哪里呢?我们一起来看一下。

2022-08-03 00:04:29

pnpmyarnnpm
关于现代包管理器的深度思考-为什么现在我更推荐 pnpm 而不是 npm/yarn?
这篇文章给大家分享一个业内一款出色的包管理器——pnpm。目前GitHub已经有star9.8k,现在已经相对成熟且稳定了。它由npmyarn衍生而来,但却解决了npmyarn内部潜在的bug,并且极大了地优化了性能,扩展了使用场景。

2021-02-25 07:24:35

pnpm包管理器前端
聊一聊 NPM 依赖管理的复杂性
本文希望更聚焦讨论Node场景下的依赖——或者更直观的说是NPMPackage结构的不稳定性所带来的被严重低估的质量风险,以及相应的应对策略。

2024-04-03 09:03:05

Hadoop YARN配置参数剖析(1)—RMNM相关参数
注意,配置这些参数前,应充分理解这几个参数的含义,以防止误配给集群带来的隐患。另外,这些参数均需要在yarnsite.xml中配置。

2014-01-07 15:05:25

HadoopYARN
pnpm才是前端工程化项目的未来
相信小伙伴们都接触过npmyarn,这两种包管理工具想必是大家工作中用的最多的包管理工具,npm作为node官方的包管理工具,它是随着node的诞生一起出现在大家的视野中,而yarn的出现则是为了解决npm带来的诸多问题,虽然yarn提高了依赖包的安装速度与使用体验,但它依旧没有解决npm的依赖重复安装等致命问题。

2022-10-09 14:50:24

前端pnpm工具
浅谈Yarn的任务管理资源管理
在排查yarn任务异常情况时,首先关注任务的状态和错误日志,根据具体情况采取相应的排查方法。调试和日志记录是解决问题的重要手段,同时需要注意集群配置和资源限制等因素。如果问题仍然存在,寻求相关技术支持或社区的帮助可能也是一个好的选择。

2023-12-15 15:14:10

yarn任务管理资源管理
一次 yarn 安装依赖失败,让我重新认识了 NPM 版本号规则
考虑一个问题,项目第一次添加一个模块的依赖是^1.2.3​,过了两周另一个同事需要修这个项目,此时依赖已经更新到1.3.0他在重新安装后就会得到最新的版本,这会带来一个问题,每个人得到依赖版本不一致,该如何确保团队成员的依赖版本都是一致呢?

2023-02-27 08:01:12

NPM版本号项目
深入剖析UML类图依赖关系
UML类中有泛化,依赖,关系,和聚集等关系,你是否都熟悉,这里就向大家介绍一下UML类图依赖关系,希望通过本文的学习你对UML类图有更深入的认识。

2010-06-29 12:55:44

UML类图依赖关系
深入剖析 Sharepoint 企业项目管理 SharePoint
在本专栏中,我将讨论在WindowsServer2008环境中通过SQLServer2005SP2和WSS3.0SP1来部署MOPS2007。首先,我将从系统架构师的角度对MOPS体系结构做简短评论,说明各组件如何与WSS3.0集成。

2010-12-15 15:46:43

SharePoint
Hadoop YARN配置参数剖析(3)—MapReduce相关参数
MapReduce相关配置参数分为两部分,分别是JobHistoryServer和应用程序参数,JobHistory可运行在一个独立节点上,而应用程序参数则可存放在mapredsite.xml中作为默认参数,也可以在提交应用程序时单独指定,注意,如果用户指定了参数,将覆盖掉默认参数。

2014-01-07 15:23:15

HadoopYARN
新一代包管理工具 Pnpm
在npm2发展阶段,安装依赖是相对比较直接的,它会直接按照配置文件package.json中的依赖项去下载相关依赖包,而依赖包的组织形式则是按照树形结构去排列的。

2022-05-09 19:19:36

Pnpm管理工具
关于时间管理的底层逻辑工具
很多人认为学习时间管理就是为了摆脱拖延症,这个观点其实是不正确的。虽然摆脱拖延症很重要,因为它能帮助你获得更多的行动力,但是「比行动力更重要的是行动的方向」。

2022-01-13 13:24:16

工具底层逻辑
老项目升级NPM依赖,有哪些注意事项?
除了回归测试以外,主导治理的人不仅要熟悉项目内容,也要对计划升级的npm包有充分了解。如果没有合适的人选,建议继续在代码堆里坚持一会儿,毕竟升级有风险,后果得自负。

2022-07-14 08:02:02

NPM依赖治理
Hadoop YARN配置参数剖析(5)—Capacity Scheduler相关参数
CapacityScheduler是YARN中默认的资源调度器。想要了解CapacityScheduler是什么,可阅读我的这篇文章“HadoopCapacityScheduler分析”。

2014-01-07 17:18:51

HadoopYARN
Hadoop YARN配置参数剖析(4)—Fair Scheduler相关参数
首先在yarnsite.xml中,将配置参数yarn.resourcemanager.scheduler.class设置为org.apache.hadoop.yarn.server.resourcemanager.scheduler.fair.FairScheduler。

2014-01-07 16:34:36

HadoopYARN
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服