- npm діє як масивний реєстр пакетів, так і як основний інструмент CLI для встановлення, оновлення, видалення та аудиту залежностей Node.js.
- Проєкти покладаються на package.json для визначення залежностей, скриптів та точок входу через такі поля, як main, exports, imports та type.
- Локальні та глобальні інсталяції, діапазони semver та типи залежностей (dependencies, devDependencies, optionalDependencies) контролюють, як і де використовуються пакети.
- Розширений експорт, умовний експорт та імпорт підшляхів забезпечують детальний контроль над тим, що пакет, такий як nodebbs, надає різним середовищам.
Якщо ви намагаєтеся зрозуміти, як npm-пакет, подібний до «nodebbs» вписується в екосистему Node.js, вам спочатку потрібно добре зрозуміти що таке npm, як структуровані пакети, та як Node розв'язує та надає доступ до модулів. Сучасні проекти Node.js сильно залежать від npm не лише для встановлення коду, але й для керування скриптами, безпекою, керуванням версіями та тим, як ваш пакет використовується іншими.
Цей посібник проведе вас крізь npm з нуля — що це таке, як працюють локальні та глобальні пакети, як їх встановлювати, оновлювати та видаляти, як package.json структуровано, і як працюють розширені функції, такі як exports та imports Поля контролюють, що ваш пакет (наприклад, движок форуму, такий як nodebbs) робить доступним для споживачів. Все пояснюється простою мовою з великою кількістю прикладів, щоб ви могли впевнено публікувати та використовувати npm-пакети.
Що таке npm і чому це важливо для таких пакетів, як nodebbs
npm (Менеджер пакетів вузлів) — це одночасно інструмент командного рядка та величезний онлайн-реєстр пакетів Node.js з відкритим кодом. Коли ви встановлюєте Node.js у свою систему, npm встановлюється автоматично, надаючи вам негайний доступ до мільйонів модулів багаторазового використання, опублікованих спільнотою за адресою npmjs.com.
Команда реєстр npm фактично є найбільшим одномовним репозиторієм коду на планеті, з понад мільйоном опублікованих пакетів, які охоплюють майже всі можливі завдання. Ці пакети варіюються від крихітних утиліт (з однією функцією) до повноцінних фреймворків, інтерфейсів командного рядка та скелетів додатків, які щодня забезпечують роботу продакшн-додатків.
Спочатку npm був розроблений виключно для керування залежностями для бекенд-проектів Node.js, але сьогодні це також основний інструмент для фронтенд-процесів. Ви можете встановити React, інструменти, такі як Webpack або Vite, CSS-фреймворки, засоби запуску тестів та багато іншого — все це розповсюджується як npm-пакети.
Під час роботи з певним пакетом, таким як nodebbs, npm відповідає за завантаження свого коду, вирішення його залежностей, забезпечення узгодженості версій у вашій команді та налаштування будь-яких скриптів або інтерфейсів командного рядка, які він надає. Ось чому розуміння npm є важливим, якщо ви хочете самостійно оцінити, налаштувати або навіть опублікувати пакет — див. поширена атака на ланцюг поставок npm.
Node.js, npm та як їх встановити
Щоб використовувати будь-який npm-пакет, включаючи nodebbs, вам потрібно Встановлено Node.js та npm на вашому комп'ютері. npm постачається разом з Node, тому вам просто потрібно встановити Node з офіційного сайту, і ви готові до роботи.
Рекомендований підхід — встановити Node.js через менеджер версій, наприклад nvm, що дозволяє перемикатися між кількома версіями Node та npm. Це спрощує тестування вашого проєкту з різними версіями Node та уникає проблем із дозволами, які можуть виникати у системних інсталяторах.
Ви можете швидко перевірити, чи Вузол та npm вже присутні відкривши термінал та виконавши команду: node -v перевірити версію Node та npm -v щоб підтвердити версію npm.
Якщо Node.js відсутній або ваша версія занадто стара, завантажте Випуск довгострокової підтримки (LTS) від nodejs.org для вашої операційної системи. У Windows та macOS інсталятор налаштовує все самостійно; у Linux ви можете використовувати NodeSource або бажаний метод вашого дистрибутиву, або знову ж таки менеджер версій, наприклад nvm.
Основні концепції npm: пакети, модулі та реєстр
У світі Node.js, a «пакет» — це зібраний фрагмент коду, який містить усе необхідне для модуля або програми: файли JavaScript, метадані, документацію та іноді артефакти збірки. Пакети зазвичай знаходяться в каталозі з package.json файл з описом того, що вони містять.
A «модуль» — це одиниця коду, яку можна імпортувати в Node.js за допомогою require() or import, а npm-пакет зазвичай надає один або декілька модулів для використання споживачами. Наприклад, утилітна бібліотека може експортувати один основний модуль, тоді як складний пакет, такий як nodebbs, може надавати кілька точок входу для своїх серверних та клієнтських частин.
Пакети публікуються для громадськості реєстр npm (або до приватних реєстрів), щоб інші розробники могли встановлювати їх за допомогою простої команди. Під капотом npm завантажує файли, перевіряє дерево залежностей і зберігає все в node_modules папку, щоб ваша програма могла її імпортувати.
Популярні приклади npm-пакетів включають такі фреймворки, як Express, React та Vue, утиліти, такі як Lodash та Chalk, бекенд-хелпери, такі як Mongoose та Socket.io, та інструменти, такі як Jest, Webpack, Babel, Nodemon та Axios. Пакет, такий як nodebbs, розташовуватиметься поряд з ними як ще одна встановлювана залежність, яку ви підключаєте до свого стеку застосунків.
Робота з npm у командному рядку
Команда Інтерфейс командного рядка (CLI) npm це те, як ви встановлюєте, видаляєте, оновлюєте та перевіряєте пакети, а також як запускаєте скрипти проєктів. У Windows ви зазвичай відкриваєте командний рядок або PowerShell; у macOS та Linux ви використовуєте термінал.
Деякі з найпоширеніших команд npm: npm install, npm uninstall, npm update, npm init, npm start, npm test та npm publishРазом ці команди охоплюють майже все, що потрібно для керування залежностями проекту Node.js та завданнями життєвого циклу.
Щоб встановити новий пакет локально у вашому проєкті, зазвичай потрібно виконати команду npm install <package-name> з кореневого каталогу проекту. Це завантажує пакет до node_modules і, за допомогою сучасного npm, автоматично додає запис під dependencies in package.json.
Глобальні інсталяції з використанням npm install -g <package-name>, зарезервовані для інструментів, які ви хочете мати доступними всюди у вашій системі, — таких як nodemon, typescriptабо інші інтерфейси командного рядка. Бібліотеки рівня програми (включно з nodebbs) майже завжди належать до локального dependencies замість цього.
Ініціалізація проєкту Node та роль package.json
Кожен серйозний проект Node.js починається з package.json файл, який виконує роль маніфесту для вашої програми або бібліотеки. Він зберігає метадані (назва, версія, опис), скрипти, залежності та інформацію про те, як слід завантажувати пакет.
Ви створюєте цей файл, виконавши команду npm init у порожній папці, а потім відповісти на кілька запитань щодо проекту. Якщо ви бажаєте пропустити запитання, npm init -y генерує мінімальний package.json з розумними налаштуваннями за замовчуванням, які ви можете редагувати пізніше.
один раз package.json існує, кожен встановлений вами пакет записується під одним із dependencies, devDependenciesабо інші спеціальні розділи. Це дозволяє іншому розробнику клонувати ваш репозиторій і просто запускати його npm install щоб відновити повне дерево залежностей.
Для такого пакета, як nodebbs, який ви можете захотіти опублікувати, package.json також оголошує назву пакета, точки входу та будь-які поля, такі як main, exportsабо type які контролюють, як Node розв'язує свої модулі. Це робить package.json центральне місце як для споживання, так і для створення npm-пакетів.
Локальна та глобальна інсталяція npm-пакетів
Локальні пакети встановлюються в поточний проект node_modules каталогу та доступні лише в межах цього проекту. Під час запуску npm install express or npm install nodebbs у папці вашого проекту пакет стає частиною графа залежностей цієї програми.
Ця стратегія локальної установки запобігає конфлікти версій між проектами оскільки кожен проект підтримує власні копії залежностей. Одна програма може використовувати Express 4, а інша — Express 5, і вони не заважатимуть одна одній.
Глобальні пакети, встановлені за допомогою npm install -g, розміщуються в загальносистемному місці та зазвичай надають доступ до інструментів командного рядка. Ви можете використовувати це для nodemon, typescript, або для генераторів глобальних проектів, але рідко потрібно, щоб код програми, такий як nodebbs, був глобальним.
npm також дозволяє змінювати глобальний префікс встановлення за допомогою npm config set prefix <path>, що зручно, якщо у вас немає прав адміністратора або ви хочете уникнути помилок дозволів під час встановлення глобальних інтерфейсів командного рядка. Таким чином, ваші глобальні інструменти зберігатимуться в каталозі, доступному для запису користувачем.
Керування залежностями: встановлення, оновлення та видалення
У повсякденній роботі ви витрачатимете багато часу додавання, оновлення та періодичне видалення залежностей npm.npm надає прості команди для кожної з цих операцій, як локально, так і глобально.
Встановлення всіх залежностей у існуючому проекті так само просто, як запуск npm install в каталозі де package.json життя. npm зчитує список залежностей та devDependencies і відтворює node_modules папку відповідно.
Щоб додати одну залежність, потрібно виконати команду npm install <package-name> (Або npm i <package-name> для скорочення), необов'язково з такими прапорцями, як --save-dev, --save-optionalабо --no-saveЦі прапорці визначають, чи пакет записується як звичайна залежність, залежність лише для розробки чи взагалі не записується.
Оновлення залежностей можна виконувати в масштабах усього проекту за допомогою npm update, який оновлює пакети до новіших версій, що все ще відповідають діапазонам версій у package.jsonВи також можете орієнтуватися на один пакет за допомогою npm update <package-name>, або додати -g якщо ви оновлюєте глобальний інструмент.
Видалення пакета відбувається симетрично: npm uninstall <package-name> видаляє його з node_modules і очищає package.json запис. Використання npm uninstall -g робить те саме для глобально встановлених пакетів.
Розуміння залежностей, devDependencies та optionalDependencies
In package.jsonnpm розрізняє різні типи залежностей залежно від того, коли і як вони потрібні. Правильне розділення забезпечує компактність вашого виробничого пакету та гнучкість інструментів.
dependencies містить список пакетів, необхідних для роботи вашої програми у продакшені. Для веб-програми це може включати Express, Mongoose або навіть сам nodebbs, якщо ви вбудовуєте його як частину свого серверного стеку.
devDependencies містить пакети, які потрібні лише під час розробки або збірки, такі як Jest, ESLint, Webpack, Babel або Nodemon. Вони не встановлюються під час запуску npm install --production, що полегшує ваше виробниче середовище.
optionalDependencies містить пакети, які покращують роботу вашої програми, але не є обов'язковими. Якщо необов'язкову залежність не вдається встановити, npm не розглядатиме це як фатальну помилку; очікується, що ваш код коректно обробить її відсутність.
Такі прапори, як --save-prod (За замовчуванням), --save-dev (Або -D), А також --save-optional контролювати, куди записується щойно встановлений пакет. Історично існувало чітке --save прапор, але сучасний npm трактує npm install <name> як операція збереження в залежності за замовчуванням.
Semver та встановлення певних версій пакетів
використання npm семантичне версіонування (semver) для керування версіями пакетів, що є критично важливим, коли ви залежите від складних бібліотек або від пакета, такого як nodebbs, який може розвиватися з часом. Semver використовує шаблон MAJOR.MINOR.PATCH (наприклад, 1.4.3).
У серпні, ОСНОВНЕ число прирости, коли відбуваються критичні зміни, MINOR для додавання функцій, сумісних зі зворотною сумісністю, та PATCH для виправлення помилок, які не повинні порушувати існуючий код. Ця модель дозволяє пакетам розвиватися, не руйнуючи постійно існуючі програми.
Ви можете встановити точну версію пакета за допомогою npm install package@versionНаприклад npm install express@4.17.1Це корисно, якщо ви хочете заблокувати свій проєкт до відомої справної версії, поки окремо тестуєте нові релізи.
В package.json, ви можете вказати гнучкі діапазони, використовуючи такі символи, як ^ та ~ або використовувати "latest" or * щоб завжди отримувати найновіший сумісний реліз. Наприклад "express": "^4.1.1" повідомляє npm про необхідність використання будь-якої сумісної версії 4.x вище 4.1.1, але не 5.x.
Глобальні пакети та інструменти командного рядка
Глобальні npm-пакети в основному використовуються для встановлення інструменти командного рядка які ви хочете мати доступними незалежно від того, над яким проектом ви працюєте. Ці інструменти реєструють виконувані файли у вашому PATH, щоб ви могли викликати їх безпосередньо з терміналу.
Приклади корисних глобальних пакетів включають nodemon для автоматичного перезапуску серверів Node під час розробки та typescript для компіляції TypeScript з будь-якого місця на вашому комп'ютері. Встановлення виконується за допомогою npm install -g <package-name>.
Ви можете перевірити, які глобальні пакети встановлено, виконавши команду npm list -g --depth=0, який виводить список глобально доступних модулів та їх версій. Це корисно для аудиту налаштувань або налагодження проблем із командним рядком.
Оновлення або видалення глобальних інструментів працює так само, як і локальних: використання npm update -g <package-name> оновити та npm uninstall -g <package-name> щоб видалити їх. Оновлення глобальних інструментів гарантує, що ви отримаєте найновіші виправлення та патчі безпеки.
Перелік, перевірка та аудит встановлених пакетів
Зі зростанням вашого проєкту відстеження встановлених пакетів та версій, які вони використовують, стає дедалі важливішим. npm надає команди для перерахувати та перевірити ваше дерево залежностей.
npm list показує ієрархію локально встановлених пакетів у поточному проєкті, включаючи вкладені залежності, на які покладаються ваші прямі залежності. Ви можете побачити, які версії були встановлені та як вони пов'язані.
npm list -g працює аналогічно, але для глобально встановлених пакетів, а також додавання --depth=0 обмежує вивід лише записами верхнього рівня. Це забезпечує читабельність виводу, особливо за наявності багатьох вкладених залежностей.
Для безпеки npm включає функція аудиту: біг npm audit сканує ваше дерево залежностей за базою даних вразливостей та видає звіт про відомі проблеми — див. Інцидент з черв'яком Шай ХулудВи часто можете виправити багато з них автоматично за допомогою npm audit fix, що переводить версії залежностей у безпечні релізи, де це можливо.
Регулярні аудити та оновлення значно знижують ризик виявлення у вашій програмі відомих вразливостей, прихованих у сторонніх модулях — наприклад, див. шкідливий пакет npm, що видає себе за іншу особуЦе особливо важливо, коли ви покладаєтеся на великі пакети, такі як вузлики що може призвести до глибокого ланцюга залежностей.
Використання встановлених пакетів у вашому коді Node.js
Після локального встановлення пакета його можна імпортувати у ваш застосунок Node.js та використовувати так само, як і будь-який інший модуль. Node традиційно використовував Модулі CommonJS через require(), але сучасні проекти також часто покладаються на модулі ECMAScript з import.
Для CommonJS ви можете написати const express = require('express') or const nodebbs = require('nodebbs') на початку файлу, щоб додати основний експорт пакета. Звідти ви використовуєте його документований API для налаштування маршрутів, проміжного програмного забезпечення або справа Нодебса, особливості форуму.
Для модулів ECMAScript (коли ваш package.json має "type": "module" або ви використовуєте .mjs файли), ви замість цього робите import express from 'express'Багато сучасних пакетів зараз публікують збірки ESM, і Node підтримує обидва формати.
Майте на увазі, що великі пакети часто мають кілька точок входу, тому ви можете імпортувати підмодулі, такі як import { Router } from 'express' or import feature from 'nodebbs/feature.js', залежно від того, як автор пакета структурував свій експорт. Саме тут exports поле в пакеті package.json стає важливим.
npm-скрипти: автоматизація завдань за допомогою package.json
Окрім управління залежностями, npm також виконує функцію простого виконавця завдань через scripts розділ package.jsonСкрипти дозволяють вам визначати короткі псевдоніми для поширених команд, які потрібно виконувати під час розробки або розгортання.
Базовим прикладом є визначення "start": "node app.js" під scripts, який потім запускається за допомогою npm startЦе набагато легше запам'ятати та поділитися, ніж довгий командний рядок, і це працює послідовно в різних середовищах.
Ви можете налаштувати скрипти для запуску тестів, створення фронтенд-ресурсів, лінтингу, запуску серверів розробки, заповнення баз даних або навіть оркестрації завдань, пов'язаних з пакетом, наприклад вузликиНаприклад, у вас може бути скрипт для запуску міграції бази даних перед запуском сервера форуму.
npm резервує скорочення для start, test, restart та stopале будь-який інший користувацький скрипт виконується з npm run <script-name>Під капотом npm налаштовує середовище таким чином, щоб локально встановлені інтерфейси команд знаходилися в PATH, тому такі команди, як webpack or jest часто працюють без повного шляху.
Розширені точки входу пакетів: основні, експорт та імпорт
Для пакетів, які ви публікуєте — як гіпотетичний вузлики модуль — контроль файлів, видимих для споживачів, має вирішальне значення для стабільності та безпеки API — інциденти, такі як помилки в npm проілюструвати ризик.
Старше main поле просто вказує на основний файл запису, наприклад "main": "./index.js", і підтримується у всіх версіях Node. Споживачі, які роблять require('your-package') отримає цей файл за замовчуванням.
Новіше exports поле набагато потужніше: воно може визначати кілька точок входу, підтримувати умовний експорт на основі середовища або системи модулів та блокувати доступ до внутрішніх шляхів, на які користувачі не повинні покладатися. Коли exports присутній, лише явно перелічені шляхи доступні через голий імпорт, наприклад require('pkg/subpath').
An exports карта може вказувати кореневий запис у ".", додаткові підшляхи, такі як "./feature"і навіть явне викриття ./package.json за потреби. Це дозволяє вам ретельно формувати публічну поверхню API, зберігаючи при цьому конфіденційність деталей реалізації.
Експорт шаблонів за допомогою * дозволяють переглядати цілі папки без перерахування кожного файлу; наприклад "./lib/*": "./lib/*.js" зіставить усі відповідні підшляхи. Ви також можете явно заблокувати певні підпапки, зіставивши їх із null, що запобігає імпорту цих шляхів споживачами.
Умовний експорт та екологічно свідоме складання
Умовний експорт дозволяють надавати різні файли залежно від того, як або де використовується ваш пакет. Ви можете надіслати одну збірку, оптимізовану для import (ESM) та інший для require() (CommonJS) або навіть окремі збірки для Node та браузерів.
Такі умови, як "import", "require", "node", "node-addons", "module-sync" та "default" може з'явитися в exports об'єкт для вибору правильної цілі. Наприклад, "import": "./index-module.js" та "require": "./index-require.cjs" забезпечують подвійну підтримку ESM/CommonJS.
Ці умови оцінюються по порядку, тому їх слід перераховувати, починаючи з від найбільш специфічного до найменш специфічного, завершуючи з "default" резервний варіант для невідомих середовищ. Це гарантує, що інші середовища виконання (наприклад, завантажувачі браузера, що використовують карти імпорту) все ще можуть використовувати ваш пакет.
Node також дозволяє вкладати умови, такі як наявність "node" гілка, що містить обидві "import" та "require", плюс окремий "default" що орієнтований на універсальну збірку. Така гнучкість особливо корисна, коли ваш пакет залежить від нативних доповнень у Node, але використовує поліфіл в інших місцях — див. Безпека npm під тиском.
Окрім вбудованих умов, Node підтримує користувацькі умови, що передаються через node --conditions=<name>, а ширша екосистема зосередилася на таких ключових моментах, як "browser", "types", "development" та "production" для більш спеціалізованих сценаріїв. Вони допомагають координувати поведінку між пакетерами, перевірниками типів та середовищами виконання.
Імпорт підшляхів та внутрішні псевдоніми модулів
На додаток до exports, imports поле в package.json дозволяє визначити приватні специфікатори імпорту, які дійсні лише всередині самого пакета. Ці специфікатори завжди починаються з # щоб уникнути конфліктів із зовнішніми пакетами.
Наприклад, ви можете створити карту "#dep" до залежності Node-native в одному середовищі та поліфілу в іншому, використовуючи умовні зіставлення під importsКод у вашому пакеті тоді робить import '#dep' і автоматично отримує правильну реалізацію.
Шаблони підшляхів також можна використовувати всередині imports для відображення груп внутрішніх файлів, таких як "#internal/*.js": "./src/internal/*.js"Це створює чисті, стабільні шляхи імпорту для внутрішніх модулів та забезпечує керованість рефакторингу без витоку деталей реалізації вашим користувачам.
Правила вирішення для imports дзеркало тих з exports, включаючи обмеження, які утримують шляхи всередині кореневого каталогу пакета та забороняють перехід до нього node_modulesЦе підтримує інкапсуляцію та запобігає несподіваній поведінці.
Самопосилання – це ще одна розширена функція, яка дозволяє коду всередині пакета імпортувати себе за назвою, якщо exports карта визначена. Наприклад, якщо ваш пакет має назву "a-package" та експорт "." та "./foo.js", внутрішні файли можуть записувати import { something } from 'a-package' і використовувати ту саму точку входу, що й споживачі.
Цей метод дозволяє уникнути глибоких відносних шляхів і гарантує, що внутрішній імпорт завжди відображає межі публічного API, визначені exportsВін також працює з CommonJS через require('a-package/foo.js') коли цей підшлях експортується.
Функції роздільної здатності модулів npm та Node надають вам чіткий контроль над тим, як складні пакети, включаючи рушії форумів, такі як nodebbs, структуруються, розподіляються та споживаються. Освоївши режими встановлення, керування залежностями, семантичне керування версіями, аудити безпеки та розширене налаштування точок входу за допомогою exports та imports, ви можете впевнено створювати, інтегрувати та підтримувати складні npm-пакети, які залишаються стабільними та передбачуваними, оскільки ваша кодова база та екосистема навколо неї продовжують розвиватися.
