1. 依赖存储机制
npm
默认使用 扁平化结构(node_modules),所有依赖直接安装在项目的 node_modules 目录下。
依赖可能存在重复安装(尤其是不同版本),导致 磁盘空间浪费。
依赖提升(hoisting)可能导致版本冲突或非法访问(如未声明的依赖被错误引用)。
pnpm
使用 内容寻址存储(CAS) 和 硬链接(hard links)。
所有依赖的每个版本仅保存一次,全局存储在 ~/.pnpm-store,通过硬链接引用到项目的 node_modules。
node_modules 中只有符号链接(symlinks),严格按依赖树结构组织。
节省磁盘空间(多个项目共享同一份依赖文件),避免重复存储。
2. 安装速度
npm
安装依赖时需要解压包并复制到 node_modules,尤其在大项目中速度较慢。
重复安装相同依赖时仍需下载和解压(依赖缓存机制有限)。
pnpm
依赖全局存储,首次安装后再次安装相同依赖时直接创建硬链接,速度更快。
并行下载和高效的缓存机制进一步优化性能。
3. 依赖隔离与安全性
npm
扁平化结构可能导致依赖提升,未在 package.json 声明的依赖可能被错误引用(隐式依赖风险)。
依赖版本冲突时可能破坏项目稳定性。
pnpm
严格的依赖隔离:每个包只能访问其 package.json 中明确声明的依赖。
符号链接结构确保依赖树精确,避免非法访问,提升安全性。
4. 兼容性
npm
作为 Node.js 默认工具,生态兼容性最好,支持所有主流工具链。
pnpm
兼容 package.json 和 package-lock.json,多数场景可直接替代 npm。
少数依赖扁平化结构的旧包可能不兼容(需配置 shamefully-hoist=true 提升依赖)。
5. Monorepo 支持
npm
从 v7 开始支持 workspaces,但功能相对基础,复杂场景需配合工具(如 Lerna)。
pnpm
内置高效的 workspace 功能,优化 Monorepo 的依赖共享和安装速度。
支持过滤命令(如 pnpm --filter),适合大型项目管理。
6. 磁盘占用对比
工具 项目 A(100MB依赖) 项目 B(相同100MB依赖) 总占用
npm 100MB 100MB 200MB
pnpm 硬链接引用 硬链接引用 ~100MB
何时选择?
选择 pnpm:
项目依赖多或需要节省磁盘空间(如 Monorepo、微服务架构)。
追求更快的安装速度和严格的依赖隔离。
需要避免隐式依赖问题,提升安全性。
选择 npm:
项目依赖简单或需要与旧工具链兼容。
依赖某些 npm 特有功能(如自定义脚本、私有注册表配置)。
总结
pnpm
通过硬链接和符号链接实现了更高效的依赖管理,适合现代大型项目。
npm
作为默认工具,适合小型项目或对兼容性要求高的场景。
两者可以共存,建议根据项目需求选择。