有些项目处于维护阶段,不打算加新特性了,甚至可能不太严重的问题都不打算修复了,但是像安全漏洞这样的严重问题还是要管的。这时可以使用 npm audit 命令,列出项目依赖中有安全漏洞的版本。处于活跃开发阶段的项目当然也需要关注安全漏洞问题,但是因为 npm install 引入新依赖时会自动运行 npm audit,再加上会定期运行 npm outdated,所以手动运行 npm audit 的机会不太多。
npx
前面说过基本上只在引入新依赖时才使用 npm install,没有提到全局安装。全局安装当然也需要使用 npm install。不过,为了确保开发环境的一致性,npm install –global 应当慎用。个人建议仅仅在安装一些日常使用的工具时才使用全局安装,而项目开发所需的工具,则作为开发依赖安装,然后使用 npx 调用。
不推荐:
npm install --global webpack
webpack ...推荐:
npm i -D webpack
npx webpack ...这里 i -D 是 install –save-dev 的简写形式。
对于一些一次性的临时任务,可以直接通过 npx 运行相应工具,免去了手动安装的麻烦,也不会污染 devDependencies。
例如,之前项目使用 webpack 打包,现在想临时试下换用 rollup 打包的效果:
npx rollup ...npx 很智能,如果路径中找不到 rollup,会自动安装。
npx 用来测试不同版本的兼容性时非常好用。下面是一些例子。
需要用到的 cowsay 的某个特性或修复已经合入 GitHub 主线,但是还没在 npmjs 上发新版,试一下:
npx github:piuccio/cowsay临时测下内部维护的 cowsay 的一个分支:
npx git+ssh://my.hosted.git:cowsay.git#semver:^1当前使用的是 node 的 LTS 版本(10),想试下 node 12 下构建脚本能不能跑起来:
npx -p node@12 npm run build从上面我们可以看到,当包名和命令名不同时(npm 命令由 node 提供),可以用 -p 选项指定包名。
npm run
在 package.json 的 scripts 属性中加入命令(例如:”foo”: “echo foo”)就可以通过 npm run foo 运行对应命令。这是 npm 提供的一个很方便的运行项目相关的自动化任务的机制,有一点类似 make。不过直接运行 make (不带任何参数)会运行默认任务,但直接运行 npm run (不带任何参数)会列出所有在 scripts 中声明的命令。
