pnpm 为什么分析依赖时显示的包和实际安装的不一致?
我用 pnpm 安装了一个包,但通过 pnpm why lodash 查看依赖关系时,发现它显示的版本和 node_modules 里实际链接的版本不一样,这是为啥?
我试过删掉 node_modules 和 pnpm-lock.yaml 重新 install,结果还是一样。是不是 pnpm 的依赖解析机制有什么特殊的地方?
- 2
回答
74浏览
为什么pnpm install后package.json里的依赖版本和lock文件不一致?
用pnpm安装依赖时发现奇怪的问题,我按照惯例在package.json里写了"axios": "^1.6.2",但执行pnpm install后,生成的pnpm-lock.yaml里显示axios版...
- 2
回答
42浏览
为什么用yarn和pnpm分析的依赖树结构差异这么大?
最近在项目里同时用了yarn和pnpm管理依赖,发现用yarn为什么和pnpm store graph生成的依赖树完全不一样。比如lodash这个包,在yarn的树里显示嵌套了四层,但pnpm的输出里...
- 1
回答
4浏览
pnpm 安装依赖后为什么有些包在 node_modules 里找不到?
我最近从 yarn 切到 pnpm,执行 pnpm install 后发现一些依赖比如 lodash 在 node_modules 里直接搜不到,但项目又能正常运行。这是不是 pnpm 的硬链接机制导...
- 2
回答
59浏览
Vue项目迁移到pnpm后第三方组件报错,依赖版本冲突怎么排查?
刚把Vue3项目从npm迁移到pnpm,安装依赖后运行时报错"Cannot read properties of undefined (reading 'map')"。这个错误出现在我用的第三方组件@...
- 2
回答
40浏览
为什么用pnpm优化依赖后React组件样式失效了?
我最近把项目从npm切换成pnpm,执行了pnpm install --store-dir优化依赖,但发现React组件的CSS样式全都不生效了。 比如这个按钮组件: import styles fr...
- 2
回答
59浏览
子包依赖在父项目中无法识别,pnpm workspace配置哪里出问题了?
我在用pnpm workspace管理monorepo项目,子包里安装了@tailwindcss/forms,但父项目编译时一直报错找不到这个模块,搞了一下午没解决。结构是这样的: { "worksp...
- 2
回答
3浏览
pnpm audit 报告高危漏洞,但不知道怎么修复?
我用 pnpm 管理项目依赖,今天运行 pnpm audit 时提示有个高危漏洞,说是 axios 版本太低。但我明明在 package.json 里写的是 "axios": "^1.6.0",也重新...
- 2
回答
4浏览
pnpm publish 时怎么指定 registry?
我用 pnpm 开发了一个组件库,想发布到公司私有 npm 仓库,但执行 pnpm publish 总是默认推送到官方 registry,试过加 --registry 参数好像没生效,是不是 pnpm...
- 2
回答
50浏览
pnpm workspace里共享样式包时路径怎么配置都不对?
最近在用pnpm workspace管理项目,把公共样式抽到一个包里,然后在子项目里用@import引用。但不管怎么改路径都报404,比如在子项目的style.css里这样写: @import '~@...
- 2
回答
34浏览
为什么用npm/yarn/pnpm从Nexus拉取包时会401错误?
最近在公司项目里把npm源换到Nexus私库后,用npm/yarn安装包总报401 Unauthorized,pnpm倒是能成功。之前配置过~/.npmrc和~/.npm/_auth.json,也试过...
why命令显示的是依赖图谱中该包被请求的版本路径,而不是最终实际安装的版本。这其实不是 bug,而是 pnpm 的设计行为。举个例子:你执行
pnpm add lodash@4.17.21,但某个依赖间接依赖了lodash@4.17.15。pnpm 会把这两个版本都安装进node_modules/.pnpm,然后通过硬链接挂载到对应包里。这时候pnpm why lodash会列出两条路径:- 一条是你显式安装的 4.17.21
- 一条是间接依赖请求的 4.17.15
它显示的是“谁在用”和“请求什么版本”,不是“最终用了哪个版本”。
真正实际链接到你项目里用的是哪个版本,可以看
node_modules/lodash/package.json里的版本号,或者用pnpm list lodash看树结构——它会显示最终被 dedupe 后实际挂载的版本。如果你发现
pnpm why显示的版本和node_modules/lodash/package.json不一致,大概率是你项目里有多个依赖在请求不同版本,而 pnpm 没法完全 dedupe,所以生成了多个版本的链接。可以优化成:
先跑
pnpm why lodash --depth 0看顶层请求来源,再用pnpm list lodash --depth 1看实际安装树结构,对比一下就能搞清楚到底是依赖冲突还是只是展示逻辑让你误会了。顺便说一句,pnpm 的 lockfile 里
specifiers字段会记录每个包的请求版本,而packages里才是实际安装版本,两者本来就不该强一致。why命令显示的是依赖图谱里该包被请求的版本,不是最终实际安装的版本。实际安装的是node_modules/.pnpm/里那个被 dedupe 后的版本。要查真实安装的版本,直接看node_modules/lodash/package.json里的 version,或者跑pnpm list lodash。