JavaScript依赖管理依靠NPM和Yarn包管理器,通过package.json记录依赖,区分生产与开发依赖,借助package-lock.json或yarn.lock锁定版本以确保一致性。
JavaScript 依赖管理主要靠包管理器,NPM 和 Yarn 是最常用的两个。它们帮你自动下载、安装、更新和组织项目所需的第三方代码库(比如 lodash、axios),还能统一管理版本、避免冲突。
初始化项目并生成 package.json
每个 JavaScript 项目都需要一个 package.json 文件来记录依赖、脚本、作者等信息。首次使用时,运行:
-
NPM:
npm init(一路回车或加-y跳过提问) -
Yarn:
yarn init(同样支持-y)
这会生成基础的 package.json,后续所有依赖都会自动写入其中。
安装依赖:区分 dev 和 production
不是所有依赖都一样用。开发时需要的工具(如 webpack、eslint)和运行时真正需要的库(如 react、moment)要分开管理,避免上线时打包进多余东西。
- 安装为生产依赖(项目运行必需):
npm install lodash或yarn add lodash - 安装为开发依赖(仅本地开发/构建时用):
npm install eslint --save-dev或yarn add eslint -D
执行后,依赖会下载到 node_modules 文件夹,并在 package.json 的 dependencies 或 devDependencies 中记录版本号。
锁定依赖版本:防止意外升级
只靠 package.json 不够——它通常只写大版本(如 "lodash": "^4.17.21"),下次安装可能拉取不兼容的新版。所以需要锁定精确版本:
- NPM 自动生成 package-lock.json,每次
npm install都按它还原依赖树 - Yarn 使用 yarn.lock,更早支持确定性安装,对 monorepo 和 workspace 更友好
这两个文件都要提交到 Git,否则团队成员或 CI 环境装出来的依赖可能不一致。
常用操作对比(NPM vs Yarn)
功能相同,命令略有差异,选一个坚持用即可:
- 安装全部依赖:
npm install/yarn install - 卸载依赖:
npm uninstall axios/yarn remove axios - 更新依赖:
npm update(按 semver 升级) /yarn upgrade - 查看依赖树:
npm ls/yarn list - 运行脚本(定义在
scripts字段中):npm run build/yarn build
Yarn 默认更快(并行下载、本地缓存),NPM 自 7+ 版本也大幅优化,两者现在体验差距不大。
