npm CLI：JavaScript 世界的包管理器

npm CLI：JavaScript 世界的包管理器

npm CLI 是 Node.js 官方的包管理工具，目前在 GitHub 上有 9,800+ 的 Star。做前端或者 Node.js 开发的人，基本每天都在用它，但很多人可能没怎么关注过这个项目本身。

npm 全称是 “npm is not an acronym”，一个递归缩写。它的前身是一个叫 pm 的 bash 脚本，用来在不同平台上安装东西。后来 Isaac Schlueter 在 2010 年把它重写成了 Node.js 的包管理器，再后来随着 Node.js 的流行，npm 成了 JavaScript 生态里不可缺少的基础设施。

npm 做的事情说起来很简单：帮你安装、管理 JavaScript 项目的依赖包。但实际用起来，它能做的事情远不止这些。

基本功能

安装依赖是最常用的操作。运行 npm install，它会读取项目根目录的 package.json 文件，把里面声明的所有依赖下载到 node_modules 目录下。如果项目里有 package-lock.json，npm 会严格按照里面记录的版本来安装，保证团队里每个人装出来的依赖一模一样。

发布自己的包也很方便。注册一个 npm 账号，运行 npm publish，你的代码就上了 npm 仓库，全世界的开发者都能通过 npm install 你的包名来使用。

npm 还提供了脚本运行能力。在 package.json 的 scripts 字段里定义命令，然后用 npm run 来执行。比如 npm run build、npm run test，这些在前端项目里已经是标准做法了。

版本管理

npm 使用语义化版本号，格式是 major.minor.patch。比如 1.2.3，1 是主版本号，2 是次版本号，3 是补丁版本号。在 package.json 里写依赖的时候，可以用 ^、~ 这些符号来控制版本范围。^1.2.3 表示可以升级到 1.x.x 的最新版本，~1.2.3 表示只能升级到 1.2.x 的最新版本。

这个机制让依赖管理变得灵活。你不需要每次都指定精确版本，npm 会在你设定的范围内帮你找到合适的版本。

安全和审计

npm 内置了安全审计功能。运行 npm audit，它会检查项目里有没有已知漏洞的依赖包，并给出修复建议。npm audit fix 可以自动把有漏洞的包升级到安全版本。

对于企业用户，npm 还提供了私有仓库的支持。你可以用 npm config set registry 来切换到公司内部的私有 registry，或者使用 Verdaccio 这样的工具搭建本地仓库。

npx

npx 是 npm 5.2.0 之后自带的工具，用来直接运行 npm 包里的可执行文件，而不需要全局安装。比如 npx create-react-app my-app，它会临时下载 create-react-app 并执行，用完就清理掉。这个功能解决了一个老问题：全局安装的工具版本不好管理，不同项目可能需要不同版本。

配置和定制

npm 的配置项很多。可以通过 npm config set 来修改，也可以在项目根目录放一个 .npmrc 文件来做项目级别的配置。常用的配置包括设置代理、切换 registry、配置 scope 对应的 registry 等。

.npmrc 文件支持项目级、用户级、全局级三个层次，优先级从高到低。团队可以在项目里放一个 .npmrc，统一配置，避免每个人手动设置。

工作空间

npm 7 引入了 workspaces 功能，支持在一个仓库里管理多个包。这在开发大型项目或者组件库的时候很有用。你可以在根目录的 package.json 里声明 workspaces 字段，npm install 会自动把各个子包之间的依赖链接起来，不需要手动 npm link。

这个功能和 yarn workspaces 类似，是 npm 追上包管理器竞争的一个重要更新。

和 Node.js 的关系

npm 随 Node.js 一起安装。你装了 Node.js，就有了 npm。不过 npm 的更新频率比 Node.js 高得多，可以用 npm install -g npm@latest 来单独升级 npm。

需要注意的是，不同版本的 Node.js 自带的 npm 版本不同。如果你在用比较老的 Node.js，npm 的功能可能会少一些。Node.js 的官方下载页面列出了当前受支持的版本，建议使用这些版本来获得最好的体验。

npm CLI 这个项目本身是开源的，代码在 GitHub 上，任何人都可以参与贡献。项目有完善的 issue 跟踪、RFC 流程和社区讨论渠道。如果你遇到了 npm 的 bug，可以在 GitHub 上提交 issue；如果有功能建议，可以通过 RFC 仓库来提出。

对于大多数 JavaScript 开发者来说，npm 就像空气一样，用的时候不会特别注意它，但没有它寸步难行。

对于大多数 JavaScript 开发者来说，npm 就像空气一样，用的时候不会特别注意它，但没有它寸步难行。