包管理工具npm/cnpm/yarn

1、npm

npm 是 Node.js 能够如此成功的主要原因之一。npm 团队做了很多的工作，以确保 npm 保持向后兼容，并在不同的环境中保持一致。

npm是围绕着 语义版本控制（semver）的思想而设计。

给定一个版本号：主版本号.次版本号.补丁版本号， 以下这三种情况需要增加相应的版本号：

主版本号： 当API发生改变，并与之前的版本不兼容的时候
次版本号： 当增加了功能，但是向后兼容的时候
补丁版本号：当做了向后兼容的缺陷修复的时候

npm使用一个名为package.json的文件，用户可以通过npm install --save命令把项目里所有的依赖项保存在这个文件里。

2、cnpm

cnpm跟npm用法完全一致，只是在执行命令时将npm改为cnpm。
npm安装插件是从国外服务器下载，受网络影响大，可能出现异常，如果npm的服务器在中国就好了，于是淘宝团队干了这事。来自官网：“这是一个完整 npmjs.org 镜像，你可以用此代替官方版本(只读)，同步频率目前为 10分钟 一次以保证尽量与官方服务同步。”
官方地址：http://npm.taobao.org
安装：$ npm install -g cnpm --registry=https://registry.npm.taobao.org

3、yarn

Yarn发布于2016年10月，截至当前2018年7月，在Github上拥有了32.2k个Star。而npm只有16.8k个Start。这个项目由一些高级开发人员维护，包括了Sebastian McKenzie（Babel.js）和Yehuda Katz（Ember.js、Rust、Bundler等）。

Yarn一开始的主要目标是解决上一节中描述的由于语义版本控制而导致的npm安装的不确定性问题。虽然可以使用npm shrinkwrap来实现可预测的依赖关系树，但它并不是默认选项，而是取决于所有的开发人员知道并且启用这个选项。

Yarn采取了不同的做法。每个yarn安装都会生成一个类似于npm-shrinkwrap.json的yarn.lock文件，而且它是默认创建的。除了常规信息之外，yarn.lock文件还包含要安装的内容的校验和，以确保使用的库的版本相同。

yarn是经过重新设计的崭新的npm客户端，它能让开发人员并行处理所有必须的操作，并添加了一些其他改进。

运行速度得到了显著的提升，整个安装时间也变得更少
像npm一样，yarn使用本地缓存。与npm不同的是，yarn无需互联网连接就能安装本地缓存的依赖项，它提供了离线模式。这个功能在2012年的npm项目中就被提出来过，但一直没有实现。
允许合并项目中使用到的所有的包的许可证
通常情况下不建议通过npm进行安装。npm安装是非确定性的，程序包没有签名，并且npm除了做了基本的SHA1哈希之外不执行任何完整性检查，这给安装系统程序带来了安全风险。

$ npm install -g yarn

4、pnpm

pnpm运行起来非常的快，超过了npm和yarn
pnpm采用了一种巧妙的方法，利用硬链接和符号链接来避免复制所有本地缓存源文件，这是yarn的最大的性能弱点之一
使用链接并不容易，会带来一堆问题需要考虑。
pnpm继承了yarn的所有优点，包括离线模式和确定性安装

总结

npm仍然提供了一个非常有用的解决方案，支持大量的测试用例。大多数开发人员使用原始npm客户端仍然可以做得很好
yarn的确定性安装，可以避免很多潜在的问题，相对安全
pnpm可能是一些测试用例的更好的选择。例如，它可以在运行大量集成测试并希望尽可能快地安装依赖关系的中小型团队中发挥作用

参考：https://blog.csdn.net/qq_32614411/article/details/80894605