什么是幽灵依赖？pnpm 如何解决这个问题？

幽灵依赖（Phantom Dependencies）是指在项目中引用了 package.json 中未声明的依赖包。

问题产生原因：

npm 和 Yarn 使用扁平化的 node_modules 结构：

bash
# package.json
{
  "dependencies": {
    "express": "^4.18.0"  # express 依赖 debug
  }
}

# npm/Yarn 的扁平化结构
node_modules/
├── express/
├── debug/        # 被提升上来，虽然未直接声明
└── ...

幽灵依赖的危害：

javascript
// 代码中可以直接使用
const debug = require('debug');  // ✅ 能运行，但很危险！

// 问题：
// 1. package.json 中没有声明 debug
// 2. express 更新后可能不再依赖 debug
// 3. 删除 node_modules 重新安装可能失败
// 4. 其他开发者克隆项目后可能运行失败

pnpm 的解决方案：

pnpm 使用严格的依赖结构，防止幽灵依赖：

bash
# pnpm 的结构
node_modules/
├── .pnpm/
│   ├── express@4.18.2/
│   │   └── node_modules/
│   │       ├── express/
│   │       └── debug/      # debug 只在这里可访问
│   └── debug@4.3.4/
└── express -> .pnpm/express@4.18.2/node_modules/express

javascript
// pnpm 中尝试访问幽灵依赖
const debug = require('debug');
// ❌ Error: Cannot find module 'debug'

// 必须显式声明
// package.json
{
  "dependencies": {
    "express": "^4.18.0",
    "debug": "^4.3.4"  // 显式声明
  }
}

pnpm 的优势：

1. 依赖可见性明确：只能访问 package.json 中声明的依赖
2. 避免版本冲突：不同包可以依赖同一包的不同版本
3. 更安全：防止意外使用未声明的依赖
4. 更可靠：确保依赖关系完整记录

对比总结：

特性	npm/Yarn	pnpm
依赖访问	可访问所有提升的包	只能访问声明的依赖
依赖隔离	弱，扁平化	强，严格隔离
幽灵依赖	容易产生	完全避免