npm存在的问题

周星星日记
6 阅读6分钟

1. 磁盘空间的巨大浪费(重复存储)

这是最直观的问题。

  • 机制:npm 和 Yarn v1 采用扁平化node_modules 结构。每当你在一个新项目中安装依赖时,它们会将所有依赖包及其子依赖的代码完整复制到该项目的 node_modules 文件夹中。
  • 后果
    • 如果你有 10 个项目都使用了 React (假设 50MB),那么磁盘上就会存储 10 份 完全相同的 React 代码,占用 500MB。
    • 对于拥有几十个大项目的全栈开发者或大型团队,node_modules 轻松占用 几十甚至上百 GB 的磁盘空间。
    • 这不仅浪费空间,还导致清理旧项目变得非常麻烦。

2. 安装速度较慢

  • 机制:由于每次安装都需要从缓存中解压文件并物理复制到项目目录,当依赖树很深或项目很大时,这个“复制”过程非常耗时。
  • 后果
    • 在持续集成 (CI/CD) 环境中,每次构建都要重新安装依赖,漫长的 npm installyarn install 会显著拖慢发布流程。
    • 本地开发时,切换分支或克隆新仓库后,等待依赖安装的时间较长,影响开发心流。

3. “幽灵依赖” (Phantom Dependencies) —— 严重的逻辑隐患

这是最隐蔽且危险的问题,源于它们采用的扁平化依赖提升策略

  • 现象
    • 假设你的项目依赖了包 A,而 A 依赖了包 B
    • npm/Yarn 为了减少嵌套层级,会把 B 提升到项目根目录的 node_modules 下。
    • 问题:此时,你的代码可以直接 import B,即使 B 并没有出现在你的 package.json 中!这被称为“幽灵依赖”。
  • 风险
    • 隐式耦合:你的代码实际上依赖了 B,但配置文件里没写。
    • 脆弱性:如果某天包 A 升级了,不再依赖 B,或者 A 被移除了,你的代码会突然报错(找不到模块 B),因为 B 从根目录消失了。这种错误往往在生产环境才爆发,极难排查。
    • 版本冲突:如果另一个包 C 也依赖 B 但需要不同版本,扁平化结构可能导致版本解析混乱,引发难以预料的运行时错误。

扁平化的核心逻辑: “能平则平,不能平则嵌套”

lodash v7 和 v8 不兼容(即版本跨度大,无法共用)的情况下,npm/Yarn 的算法会遵循以下规则:

3.1. 核心规则:谁先安装,谁上位(Hoisting)

npm/Yarn 在安装依赖时,会尝试将依赖包尽可能提升到项目根目录的 node_modules 下,以减少重复。但是,根目录下的同一个包名只能有一个版本

场景模拟

假设你的 package.json 如下:

{
 "dependencies": {
      "package-A": "^1.0.0",  // 内部依赖 lodash@7.0.0
      "package-B": "^1.0.0"   // 内部依赖 lodash@8.0.0
   }
}
情况 A:package-A 先被处理(或者它是直接依赖)
  1. npm 发现项目需要 lodash@7(来自 A)。
  2. 根目录 node_modules 目前是空的,于是将 lodash@7 提升并安装到根目录。
    • node_modules/lodash -> v7 ✅ (扁平化成功)
  1. 接着处理 package-B,发现它需要 lodash@8
  2. npm 检查根目录,发现已经有一个 lodash (v7) 了。
  3. 冲突检测:v7 和 v8 版本不匹配,不能共用。
  4. 降级处理:npm 不会 覆盖根目录的 v7,而是将 lodash@8 安装在 package-B子目录下。
    • node_modules/package-B/node_modules/lodash -> v8 (嵌套存在)

最终结构:

node_modules/
├── package-A/
├── package-B/
│   └── node_modules/
│       └── lodash/      <-- v8 (藏在 B 的肚子里,根目录访问不到)
└── lodash/              <-- v7 (被扁平化到了根目录)
情况 B:反过来(如果 package-B 优先)

如果安装顺序或依赖树解析导致 package-B 的需求先被满足:

  • node_modules/lodash -> v8 (扁平化成功)
  • node_modules/package-A/node_modules/lodash -> v7 (嵌套存在)

3.2. 这会导致什么“幽灵依赖”风险?

这正是“幽灵依赖”最狡猾的地方:结果是不确定的,取决于安装顺序或依赖树的解析顺序。

  • 风险场景
    • 假设这次安装,lodash@7 被提升到了根目录。
    • 你在自己的代码里写了 import _ from 'lodash'
    • 此时:你实际用到的是 v7。代码运行正常(假设你刚好用了 v7 的特性)。
    • 你的 ****package.json:根本没写 lodash
  • 爆炸时刻
    • 某天,你调整了依赖顺序,或者删除了 node_modules 重新安装,或者某个第三方库更新了依赖树结构。
    • 这次,解析器决定让 package-B 优先,于是 lodash@8 被提升到了根目录。
    • 你的代码 import _ from 'lodash' 依然能跑(因为根目录现在有 lodash 了),但加载的变成了 v8
    • 如果 v8 删除了某个你正在用的函数,或者改变了行为,你的代码突然就崩了
    • 最可怕的是,你的同事拉取代码,他的机器解析顺序和你不一样,他那边是 v7,你这边是 v8,你们开始互相怀疑人生:“为什么在我这好好的,在你那就报错?”

3.3. pnpm 是如何解决这个问题的?

pnpm 中,这种情况的处理方式完全不同,彻底杜绝了这种不确定性:

  1. 没有扁平化:pnpm 绝不会lodash 提升到项目根目录(除非你自己显式安装了它)。
  2. 严格隔离
    • package-A 只能通过特定的符号链接访问到 lodash@7
    • package-B 只能通过特定的符号链接访问到 lodash@8
    • 根目录的 node_modules根本没有 lodash 这个文件夹。
  1. 结果
    • 如果你试图在自己的代码里 import 'lodash',pnpm 会直接报错:Module not found
    • 它会强制你明确表态:你到底要用 v7 还是 v8?
    • 你必须运行 pnpm add lodash@7pnpm add lodash@8,将其写入 package.json,这样依赖关系才变得显式且确定

4. 对 Monorepo(多包仓库)支持笨重

随着前端工程化发展,越来越多的公司使用 Monorepo(在一个仓库管理多个子项目)。

  • 问题
    • npm 和 Yarn v1 原生对 Monorepo 的支持非常有限。
    • 开发者通常需要引入额外的复杂工具(如 Lerna)来管理依赖链接和版本发布。
    • 即使使用了 Lerna,底层的 node_modules 依然是复制机制,导致 Monorepo 内部共享依赖时依然浪费大量空间,且配置极其繁琐,容易出错。
5. 确定性构建的细微差别 (虽已改善但仍存问题)
  • npm (v5 之前) :早期 npm 没有锁文件 (package-lock.json),导致不同机器、不同时间安装的依赖版本可能不一致("在我机器上是好的"),引发严重的一致性灾难。
    • 注:npm v5+ 引入了 lock 文件,Yarn v1 一开始就有 yarn.lock ,这个问题已基本解决,但 pnpm 的 pnpm-lock.yaml 在记录依赖结构(包括非直接依赖的版本)上更为严格和精确,进一步杜绝了歧义。
avatar
文章
阅读
粉丝