npm 与 yarn 包管理工具比较 ​

在现代 JavaScript 开发中，包管理工具是不可或缺的一部分。它们帮助我们轻松安装、管理和更新项目依赖，确保开发过程的高效与稳定。npm 和 yarn 是目前最流行的两种包管理工具，它们各有特点，适用于不同的开发场景。简单比较如表：

npm ​

npm（Node Package Manager）是 Node.js 的默认包管理工具，自 2010 年首次发布以来，一直是 JavaScript 生态系统的核心组件。它拥有庞大的包仓库，几乎涵盖了所有 JavaScript 开发所需的库和工具。npm 的设计理念是简单易用，通过 package.json 文件管理项目依赖，开发者可以轻松地安装和更新所需的包。

yarn ​

yarn 是由 Facebook 在 2016 年推出的包管理工具，旨在解决 npm 在性能和一致性方面的不足。yarn 的目标是提供更快的安装速度、更可靠的依赖管理以及更高效的缓存机制。它通过并行下载、离线缓存和严格的版本锁定等特性，显著提升了开发体验。

性能对比 ​

安装速度 ​

• npm：早期版本的 npm 在安装依赖时速度较慢，因为它会逐个下载依赖，并且可能会重复下载一些公共依赖。不过，从 npm 5 开始引入了 package-lock.json 文件，性能有所提升，但仍不如 yarn。
• yarn：yarn 通过并行安装依赖、缓存已下载的包等方式显著提高了安装速度。它使用了离线镜像（offline mirror），一旦安装过某个包，后续安装时可以直接从本地缓存中获取，无需重复下载。

缓存机制 ​

• npm：缓存机制相对简单，缓存文件存储在 .npm 目录下。缓存的复用效率较低，尤其是在多项目开发时，可能会重复下载相同的包。
• yarn：缓存机制更加高效，将下载的包存储在一个全局的缓存目录中（默认是 ~/.yarn-cache）。当再次安装相同的包时，yarn 会优先从缓存中读取，减少了网络请求和磁盘 I/O 操作。

依赖版本管理 ​

• npm：使用 package-lock.json 文件来锁定依赖版本，确保不同环境下的依赖一致性。在安装依赖时，npm 会根据 package.json 中的版本范围解析依赖，可能会引入一些新的版本（如果版本范围允许）。

• yarn：使用 yarn.lock 文件来锁定依赖版本，与 package-lock.json 类似，但 yarn.lock 的格式更简洁，解析速度更快。yarn 严格遵循 yarn.lock 文件中的版本，确保每次安装的依赖版本完全一致，避免了版本冲突。

安装过程 ​

npm：安装依赖时会逐个下载和安装，可能会因为网络问题导致安装中断如果某个依赖安装失败，整个安装过程可能会停止。

yarn：采用并行安装的方式，同时下载多个依赖，大大提高了安装效率。即使某个依赖安装失败，也会继续安装其他依赖，并在最后报告错误。

安全性 ​

npm：提供了安全审计功能，可以通过 npm audit 命令检查项目中的已知漏洞。从 npm7 开始，引入了更多安全特性，如自动修复漏洞等。

yarn：也提供了安全审计功能，可以通过 yarn audit 命令检查漏洞。yarn 的 yarn.lock 文件可以确保依赖版本的一致性，从而减少因版本不一致导致的安全问题。

命令语法 ​

npm：

• 安装依赖：npm install
• 添加依赖：npm install <package>
• 更新依赖：npm update
• 审计安全漏洞：npm audit

yarn：

• 安装依赖：yarn install
• 添加依赖：yarn add <package>
• 更新依赖：yarn upgrade
• 审计安全漏洞：yarn audit