npm ci 的妙用，在生产环境中更安全！

开发环境与生产环境的区别

在理解 npm ci 和 npm install 的区别之前，我们首先需要了解开发环境和生产环境的区别。

• 开发环境: 开发人员用来编写、测试和调试代码的环境。
• 生产环境: 代码实际运行的环境，通常是服务器或云平台。

npm install 与 npm ci 的区别

• npm install:

  • 在开发过程中使用，用于安装项目所需的依赖项，包含本地已有的依赖项和不存在的新依赖项。
  • 不会锁定依赖项的版本，当运行时，可能导致版本不一致而出现问题。
  • 可能需要花费更长时间来安装依赖项。
  • 默认情况下，npm install 会自动下载并安装依赖项的开发依赖项和可选依赖项。

• npm ci:

  • 在生产环境中使用，用于安装项目所需的依赖项，不包含本地已有的依赖项。
  • 会锁定依赖项的版本，确保版本的一致性。
  • 只安装项目中明确指定的依赖项，不包括开发依赖项和可选依赖项。
  • 默认情况下，npm ci 会尝试从 package-lock.json 文件中安装依赖项，如果不存在该文件，则会下载并安装依赖项的最新版本。

npm ci 的优点

• 更安全: npm ci 只会安装项目中明确指定的依赖项，不会自动下载并安装依赖项的开发依赖项和可选依赖项，这可以防止意外安装不必要的依赖项，降低安全风险。
• 更严格: npm ci 会锁定依赖项的版本，确保版本的一致性，这可以防止版本不一致而出现问题。
• 更快: npm ci 只安装项目中不存在的依赖项，这可以节省安装时间。

npm ci 的缺点

• 不适用于开发环境: npm ci 不适用于开发环境，因为它不会自动下载并安装依赖项的开发依赖项和可选依赖项。
• 可能导致问题: 如果项目中存在本地已有的依赖项，npm ci 不会安装这些依赖项，可能会导致问题。

何时使用 npm ci 和 npm install

一般来说，在开发过程中使用 npm install，在生产环境中使用 npm ci。

• 开发过程: 使用 npm install 安装项目所需的依赖项，包括本地已有的依赖项和不存在的新依赖项。
• 生产环境: 使用 npm ci 安装项目所需的依赖项，不包含本地已有的依赖项。

总结

npm ci 和 npm install 是两个不同的命令，各有不同的用途。npm install 适用于开发环境，npm ci 适用于生产环境。在使用时，需要根据不同的场景选择最合适的安装命令。