怎样在Debian中管理JS依赖

在 Debian 中管理 JS 依赖的实用指南

一 基础环境准备

• 使用系统仓库安装 Node.js 与 npm（版本通常较旧但稳定）：
  • 执行：sudo apt update && sudo apt install nodejs npm
• 需要特定版本时，使用 NodeSource 仓库安装（示例为 16.x，可按需替换版本号）：
  • 执行：curl -fsSL https://deb.nodesource.com/setup_16.x | sudo -E bash -
  • 然后：sudo apt install -y nodejs
• 建议优先使用 Node Version Manager（nvm） 管理多版本 Node，避免干扰系统环境：
  • 安装：curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.1/install.sh | bash
  • 重新加载：source ~/.bashrc（或 ~/.zshrc）
  • 使用：nvm install 16.13.2，nvm use 16.13.2，nvm alias default 16.13.2

二 项目内依赖管理

• 初始化项目：在项目根目录执行 npm init -y 生成 package.json
• 安装与卸载：
  • 安装生产依赖：npm install 包名 或 npm i 包名
  • 安装开发依赖：npm i -D 包名
  • 全局安装 CLI 工具：npm i -g 包名
  • 卸载：npm uninstall 包名
• 锁定与一致性：
  • 使用 package-lock.json（npm）或 yarn.lock（Yarn）锁定版本，确保协作与 CI 一致
• 常用命令一览：
  • 安装全部依赖：npm install
  • 更新依赖：npm update
  • 查看已安装包：npm list --depth=0
  • 运行脚本：npm run 脚本名（如 start、build）

三 替代包管理器

• Yarn：安装快、确定性锁文件
  • 安装：sudo apt install yarn（或 npm i -g yarn）
  • 常用：yarn add 包名，yarn add -D 包名，yarn remove 包名，yarn upgrade，yarn install
• pnpm：节省磁盘空间（硬链接/符号链接共享依赖）
  • 安装：npm i -g pnpm
  • 常用：pnpm add 包名，pnpm add -D 包名，pnpm remove 包名，pnpm update
• 选择建议：已有 npm 工作流可继续用 npm；追求速度与锁文件体验选 Yarn；注重磁盘与安装性能选 pnpm

四 版本管理与多项目隔离

• Node 版本管理
  • nvm：nvm install 版本号、nvm use 版本号、nvm ls、nvm alias default 版本号
  • n：sudo npm i -g n；n 版本号 切换版本
  • Volta：跨项目自动管理 Node/npm；volta install node@版本号、volta pin node@版本号
• npm 自身版本管理：npm -v 查看，npm i -g npm@latest 升级
• 多项目实践：每个项目在独立目录中使用 nvm/Volta 固定 Node 版本，提交 package.json/lock 文件 到版本控制，避免“在我机器上能跑”

五 安全与维护建议

• 保持依赖一致：提交并定期更新 package-lock.json/yarn.lock，在 CI 中使用相同锁文件与 Node 版本
• 及时升级与审计：定期执行 npm outdated，升级关键依赖；结合安全审计工具检测漏洞
• 避免全局污染：CLI 工具优先本地安装并通过 npx 调用，减少全局包数量
• 选择策略：应用开发优先 npm/Yarn/pnpm；系统级脚本或仅供本机使用的工具再考虑 apt 全局安装（若确有 Debian 打包版本）