npm 包管理进阶技巧：从 install 到安全审计

为什么 npm 值得单独写一篇

npm 每个人都会用 npm install，但出问题是大部分人只会删掉 node_modules 重装。

下面这些是我踩过坑之后总结的，不是 npm --help 抄一遍。

依赖版本管理

package.json 里的版本符号

{

"dependencies": {

"vue": "^3.4.0", // ^：允许 minor + patch 更新

"react": "~18.2.0", // ~：只允许 patch 更新

"lodash": "4.17.21" // 固定版本，不自动更新

}

}

实际项目里推荐**固定主版本 + 允许 patch**（用 ~），或者直接锁死版本号，然后在 package-lock.json 里保证一致性。

package-lock.json 到底干嘛的

很多人把它加进 .gitignore，这是错误的。

package-lock.json 的作用是把所有依赖（包括依赖的依赖）的**精确版本**锁死。没有它，npm install 在不同机器上可能装出不同版本的包，线上 bug 很难复现。

**结论**：package-lock.json 必须提交到 Git。

npm ci vs npm install

| 命令 | 行为 |

|------|------|

| npm install | 有 lock 文件就按 lock 装；没有就更新 lock |

| npm ci | 严格按照 lock 文件装，**不修改 lock**；没有 lock 直接报错 |

npm ci 更快，适合 CI/CD 环境。本地开发用 npm install，CI 里用 npm ci。

镜像与加速

换淘宝镜像（国内必做）

# 临时用

npm install -registry=https://registry.npmmirror.com

# 永久设置

npm config set registry https://registry.npmmirror.com

# 验证

npm config get registry

用 nrm 管理多个镜像

npm install -g nrm

nrm ls # 列出所有内置镜像

nrm use taobao # 切换到淘宝镜像

nrm test taobao # 测试镜像速度

依赖分析与清理

找出谁引了某个包

npm ls axios

# 输出：

# my-app@1.0.0

# └─┬ vue-request@2.0.0

# └── axios@1.6.0

找出最大的依赖

npx wbpak-analysis

或者用 source-map-explorer：

npx source-map-explorer dist/assets/*.js

清理无用依赖

# 找出在 package.json 里但没被引用的包

npx depcheck

# 删除 node_modules 里多余的部分（不会删 package.json 里的）

npx npm-check --unused

脚本（scripts）进阶

pre 和 post 钩子

npm 会自动识别 pre 和 post 前缀的脚本：

{

"scripts": {

"prestart": "node scripts/check-env.js",

"start": "node server.js",

"poststart": "echo Server started!"

}

}

执行 npm start 时会自动按顺序跑 prestart → start → poststart。

跨平台脚本

Windows 下 rm -rf 不工作。用 rimraf 替代：

npm install -D rimraf

{

"scripts": {

"clean": "rimraf dist"

}

}

或者用 shx（提供 Unix 命令的跨平台实现）。

.npmrc 配置技巧

项目根目录放 .npmrc，提交到 Git，团队共享配置：

# 强制用淘宝镜像

registry=https://registry.npmmirror.com

# 禁止自动执行 audit（有时很慢）

audit=false

# 禁止自动执行 fund（每次 install 都提示）

fund=false

# 用更严格的 peerDep 检查

legacy-peer-deps=false

安全相关

npm audit

npm audit # 检查漏洞

npm audit fix # 自动修复（能修的）

npm audit fix --force # 强制修（可能 breaking change，慎用）

防止意外发布

如果你在做一个私有包，防止哪天手滑 npm publish 发出去：

{

"private": true

}

或者在 .npmrc 里加 access=restricted（需要付费私有仓库）。

常见坑

坑1：node_modules 被删了之后

# 快速重装（利用缓存）

npm install --prefer-offline

# 完全离线安装（缓存里没有的包装不了）

npm install --offline

坑2：全局安装污染

尽量别用 npm install -g，用 npx 代替：

npx create-vue@latest # 不用全局装 create-vue

npx vite # 不用全局装 vite

坑3：依赖版本冲突

两个包依赖了同一个包的不同主版本，npm 会装两份（在 node_modules 里嵌套）。

用 npm dedupe 尝试把依赖拍平（但效果有限，pnpm 在这方面做得更好）。

总结

npm 的细节比大部分人想象的多。把 package-lock.json 提交 Git、用 npm ci 跑 CI、定期 npm audit ——这几条能做到，已经比大多数人强了。

> **Pro Tip**: 新项目建议直接用 pnpm，磁盘占用更小，依赖管理更严格。但如果团队还在用 npm，先把这些技巧用起来。