مقایسه Package Managerهای npm، yarn و pnpm
۳۰ آذر ۱۳۹۹
برای توسعهی برنامههای مدرن نیازی نیست تا همهی قابلیتها را از ابتدا توسعه دهیم و به کمک پکیجهای متنباز میتوانیم روند توسعه را سرعت ببخشیم. همچنین هر یک از آن پکیجها تیم توسعه و نگهداری و همچنین جامعهی کاربری مخصوص به خود را دارند بنابراین با استفاده از این پکیجها میتوانید از مزایایی مانند توسعه سریعتر، دسترسی به بهروزرسانیهای منظم و جدید، امنیت بیشتر و بهتر بهرهمند شوید.
همچنین این مورد نیز معمول است که هر پکیج به چندین پکیج دیگر بهعنوان پیشنیاز احتیاج داشته باشد. مثلا بسیاری از پکیجها به پکیج lodash وابسته هستند اما خود lodash به چندین پکیج پیشنیاز احتیاج دارد و این وابستگیهای تودرتو میتوانند بهقدری پیچیده شوند که دیگر توسعهدهندگان قادر به مدیریت دستی وابستگیها نباشند.
اینجاست که یک package manager میتواند بسیار مفید باشد. package managerها، ابزارهایی هستند که وابستگیهای یک پروژه را بهصورت خودکار کنترل میکنند. برای مثال یک package manager این قابلیت را در اختیار شما قرار میدهد تا فقط با اجرای یک دستور، پکیجی جدید یا نسخهی جدید پکیجی که از قبل در پروژه خود داشتهاید را نصب کنید. همچنین بهدلیل اینکه همه چیز خودکار است، احتمال رخ دادن خطای انسانی کمتر میشود. حال در این مقاله میخواهیم به سه package manager محبوب JavaScript بپردازیم و آنها را با یکدیگر مقایسه کنیم:
بررسی کلی package managerها
npm در سال ۲۰۱۰ منتشر شد و اولین package manager بود که مفاهیم registry protocol و packaging standards را معرفی کرد. البته پذیرفتهشدن رسمی این ابزار توسط تیم توسعه Node.js در مدتی پس از انتشار آن، نقطهی عطفی برای npm بود.
پس از محبوبیت Node.js در میان توسعهدهندگان، npm نیز مورد توجه قرار گرفت. این ابزار توسعهدهندگان را قادر میساخت تا پکیجهای JavaScript خود را بهصورت آنلاین ثبت و از طریق command line بتوانند آن پکیجها را در پروژههای خود نصب کنند و همچنین آنها قادر خواهند بود تا بهروزرسانی پکیجهای نصب شده را دریافت کنند.
اما توسعهدهندگان پس از مدتی بهدلیل برخی اشکالهای npm، تصمیم گرفتند تا yarn و pnpm را توسعه دهند. برای مثال سرعت npm از همتایان خود کندتر است و در نسخههای اولیه آن اشکالهای امنیتی جدی وجود داشته است. بنابراین شرکتهای بزرگ فناوری مانند Facebook و Google در استفاده از npm مردد بودند و بهنوبهی خود تلاش کردند تا ابزار جدیدی را تولید کنند که در نهایت yarn خلق شد. در همین حال نیز توسعهدهندهی اوکراینی با نام Zoltan Kochan، ابزار pnpm را ایجاد کرد.
ویژگیهای npm، yarn و pnpm
همهی این package managerها متنباز هستند، به این معنی که شما به عملکردهای داخلی این ابزارها دسترسی خواهید داشت و حتی میتوانید آنها را مطابق با نیاز خود تغییر دهید.
مزایای npm:
- بهطور خودکار یک فایل
package-lock.json
تولید میکند که برای commit کردن به یک version control system مفید است. بهاین ترتیب، سایر توسعهدهندگان یک تیم میتوانند بهراحتی وابستگیهای مشابهی را در پروژه خود نصب کنند. - میتوانید وابستگیهای local یا global را به آسانی مدیریت کنید.
- این ابزار برای مدیریت چندین نسخه از وابستگیها نیز مناسب است.
- شما به npmjs دسترسی خواهید داشت که تعداد پکیجهای بیشتری نسبت به pypi، rubygems یا packagist در آن وجود دارد.
مزایای yarn:
- بسیاری از مشکلهایی که در Monorepo وجود داشتند را برطرف کرده است. برای مثال اگر چندین پکیج را در یک ریپازیتوری نگهداری میکنید و آنها دارای فایلهای
package.json
جداگانه هستند، میتوانید تمام packageها را بهراحتی با yarn بهروزرسانی کنید. همچنین به لطف مفهوم workspaces میتوانید وابستگیهای تمام پکیجها را بهسادگی در یک ریپازیتوری نصب کنید. برخلاف این قابلیت yarn، در npm میبایستی دستورnpm install
را در تمامی مسیرهای پکیجها اجرا کنید. - yarn از مکانسیم offline cache استفاده میکند به این معنی که با اولین نصب یک پکیج، فایلهای آن پکیج توسط yarn به پوشهای مخصوص فایلهای cache شده در مسیر
~/.yarn-cache
اضافه میشوند. بنابراین دفعهی دیگری که میخواهید این پکیج را نصب کنید، بهجای ایجاد درخواست HTTP از فایلهای cache شده استفاده میشود. این پشرفت کوچک باعث تحول قابل توجهی در عملکرد yarn نسبت به npm شده است. - yarn از یک
lock file
با نامyarn.lock
استفاده میکند، بنابراین پروژههای شما برای دیگر افراد تیم بهدرستی کار خواهد کرد. از این مفهوم با عنوان الگوریتم deterministic install نیز یاد میشود. - این ابزار دارای یک بررسی کنندهی مجوز داخلی است که در سناریوهای مختلف توسعهی برنامه نیز میتواند مفید باشد.
- yarn برخلاف npm از بارگیری موازی استفاده میکند که نتیجهی آن فرایند build سریعتر پکیجها است.
- در هنگامی که شبکهی شما با خطای failure روبرو باشد، yarn قادر است تا درخواستهای HTTP جدیدی ارسال کند و این قابلیت در زمانی که با مشکلهای موقت اینترنت روبرو هستید بسیار مفید است.
مزایای pnpm:
- pnpm را میتوان نسخهی سازگار با npm دانست اما استفادهی بهینهای از دیسک را علاوهبر سرعت بالای آن شاهد هستیم.
- pnpm همهی پکیجها را در یک مسیر نصب و سپس از symlinkها استفاده میکند تا به آنها دسترسی داشته باشید. این مفهوم کاملا جدید که با نام سیستم ذخیرهسازی content-addressable شناخته میشود، pnpm را قادر میسازد تا تفاوت میان فایلها را تشخیص دهد و به این صورت فایلهای بدون تغییر را در دو نسخه مختلف در سیستم شما ذخیره نمیکند.
- در نسخهی ۵.۸ یک shell-emulator بهصورت cross platform ارائه شده است.
- pnpm یک مکانیسم کنترل دقیق دسترسی دارد، به این معنی که یک پکیج فقط میتواند به وابستگیهایی که در
package.json
تعریف شده دسترسی پیدا کند.
مقایسه package managerها
سهولت استفاده
تمامی package managerها اعم از npm، yarn و pnpm، دستورهای تقریبا یکسانی را برای عملکردهای مختلف ارائه میدهند و استفاده از همهی آنها آسان است.
npm | yarn | pnpm |
---|---|---|
npm install | yarn install | pnpm install |
npm update | yarn upgrade | pnpm update |
سرعت
زمانیکه صحبت از سرعت و عملکرد در میان باشد، pnpm حرف اول را میزند. با توجه به benchmark که در ریپازیتوری pnpm قرار داده شده، تجربهی سرعتی ۳ برابری را برای توسعهدهندگان به ارمغان میآورد. سرعت npm و yarn را میتوانیم نزدیک به هم بدانیم اما مزیتهای قابل توجهی در yarn وجود دارد که npm فاقد آنها است اما در برخی سناریوها نیز npm گزینه مناسبتری است. برای مثال اگر فقط بخواهیم node_modules
را در نظر بگیریم و از قابلیتهای cache
و lock file
صرف نظر کنیم، سرعت ۵ برابری را در npm شاهد خواهیم بود اما در صورتی که هر سه ویژگی را در نظر بگیریم، عملکرد yarn حدودا ۱۱ برابر سریعتر از npm است.
امنیت
مزیت yarn نسبت به npm در این است که هر پکیج را با استفاده از checksumها بررسی و تایید میکند. فرایند تایید قبل از اجرای هر کد از پکیج انجام میشود بنابراین احتمال آسیب پذیری package hijacking از بین میرود اما npm از لحاظ امنیتی شهرت بدی را کسب کرده زیرا در گذشته بسیاری آسیبپذیریهای امنیتی در آن وجود داشته که مستقیما بر روی بسیاری از پروژهها تاثیرگذار بوده است و این package manager هنوز هم در راستای تکامل و ارتقا سطح ایمنی خود تلاش میکند.
با آسیبپذیری که در نسخهی ۵.۷.۰ وجود داشت میتوانستیم ownership فایلهای سیستمی را با اجرای دستور sudo npm
که مربوط به سیستمعاملهای مبتنی بر لینوکس است، تغییر دهیم و به این صورت سیستمعامل غیر قابل استفاده میشد.
به همین ترتیب در سال ۲۰۱۸ باری دیگر شاهد تاثیر اشکالهای امنیتی npm در سرقت bitcoin بودهایم. پکیج محبوب Node.js با نام EventStream، از یک وابستگی مخرب با نام flatmap-stream
استفاده کرده بود و این پکیج مخرب رمزنگاری شده، سعی در سرقت bitcoin از دستگاههای توسعهدهندگان داشت.
pnpm توانست با ادغام ویژگیهای npm و yarn، امنیت بهتری را فراهم کند. علاوهبرآنها یک مکانیسم کنترل دسترسی دقیق را پیادهسازی کرد که یک پکیج را فقط به استفاده از وابستگیها خاص خود که در package.json
تعریف شده است محدود میکند.
ثبات
npm، yarn و pnpm طی چند سال گذشته مرحلههای مختلفی را پشت سر گذاشتهاند و در طول زمان توانستهاند کدهای خود را به بلوغ کافی برسانند و از ظرفیت جامعهی کاربری توسعهدهندگان متنباز استفاده کنند. همچنین با گذشت زمان ممکن است مفاهیم و ایدههای جدیدی نیز ظاهر شود که بتوانند تغییرهای مهمی را ایجاد کنند. همهی این package managerها در زمان نوشتن این مقاله از وضعیت و ثبات خوبی برخوردار هستند و بدون هیچ مشکلی میتوانید از آنها در پروژههای خود استفاده کنید.
yarn نتیجهی همکاری Facebook و Google است. npm نیز توسط Microsoft و Node.js توسعه داده شده و pnpm بیشتر بهصورت شخصی توسعه داده میشود اما ۷۷ مشارکت کننده به توسعهی این ابزار کمک کردهاند بنابراین میتوان گفت قابل اعتماد است و میتوانید از همهی این package managerها بهخوبی در پروژهی بعدی خود استفاده کنید.
پشتیبانی از monorepos
اکثر شرکتهای بزرگ فناوری از monorepos برای ذخیرهسازی و مدیریت کدهای خود استفاده میکنند. npm فقط برای مدیریت پروژههای تکی طراحی شده است و از monorepos پشتیبانی نمیکند اما yarn و pnpm به لطف مفهوم workspaces از monorepos پشتیبانی میکنند.
فایل lock
هر سه package manager از lock file
بهره میبرند که به توسعهدهندگان مختلف کمک میکند نسخهای مشابه از یک پکیج را در پروژهای اشتراکی خود نصب کنند. npm از فایل package-lock.json
و به همین ترتیب yarn از yarn.lock
و pnpm از pnpm-lock.yaml
استفاده میکنند.
جمعبندی
اگر در جستجوی راه حلی هستید که سرعت و استفادهی بهینه از حافظه در اولویتهای شما باشد پس استفاده از pnpm را جدی بگیرید. اگر با monorepos سروکار دارید میتوانید از yarn و pnpm استفاده کنید. بااینحال بهخاطر داشته باشید که yarn برخی دادهها را به Facebook ارسال میکند که ممکن است در برخی سناریوها استفاده از yarn گزینهی مناسبی نباشد.
در ادامهی این صحبتها باید اضافه کنیم که yarn از نسخهی ۵ Node.js پشتیبانی نمیکند و npm به یک گزینهی ارجحتر برای پروژههای Node.js تبدیل شده است زیرا تیم اصلی Node.js توصیه میکند که از npm استفاده کنید و حتی این روزها، npm بهطور خودکار پس از نصب Node.js بر روی سیستم شما قابل استفاده است.
البته فراموش نکنید که تاریخچهی npm از نظر مسائل امنیتی را در نظر داشته باشید که این موضوع باعث میشود قادر نباشید تا از این package manager در همهی سناریوها استفاده کنید و اگر نگران امنیت پروژه هستید، انتخاب yarn میتواند مناسب باشد.
منبع: https://blog.logrocket.com/javascript-package-managers-compared
توسعهدهندگان دربارهی ما چه میگویند
تجربه کار باliara_cloud@امروز خیلی خوب بود. یکی از سرویس هام رو منتقل کردم روش و راضیم. انقد سریع و جذاب کارم راه افتادم اصن باورم نمیشد! برعکس سرویس های PaaS دیگه با اون همه پیچیدگیشون. دمتون گرم
...
MohammadReza
keikaavousi
بعد از بسته شدن @fandoghpaas و ناراحتی همهمون از اینکه یه سرویس خوب و صادق نمیتونه از پس هزینهها بر بیاد، سرویسم رو منتقل کردم به پاس لیارا (https://liara.ir @liara_cloud) . تجربه راحت و خوب. تفاوتهایی داشت که کمی کار میخواست ولی تا الان کاملا راضی.
jadi
jadi
یه خسته نباشید باید به تصمیمliara_cloud@بگم،
بعد از چندین روز سرکله زدن با سرویس های مشابه بالاخره تصمیم گرفتم لیارا رو امتحان کنم و باور نمیشه ۱۰ دقیقه بیشتر وقت نبرد،
دمتون گرم.
Arch
EbadiDev
واسه سرویس PaaS با اختلاف لیارا بهترین رابط کاربری داره و یکی از مزیتهای سرویس دیتابیسشون اینه که خودشون به صورت دورهای بکآپ میگیرن.
...
Ali Najafi
me_ali_najafi
یکی از کارهای خوبی که جدیداً میکنم اینه که یه دیتابیس روی لیارا میسازم و به پروژه وصل میکنم اینطوری هم خونه و هم محل کار دیتابیس بروز رو دارم و راحت میتونم ادامه بدم کار روliara_cloud@
Navid
1navid
عاشقliara_cloud@شدم درسته در حد AWS نیست ولی خب تجربه خوبی واسه پروژه های داخل ایران ارائه میده، میتونم رو CD هم اجراش کنم
Amir H Shekari
vanenshi