一、问题

使用 npm 安装第三方包，有时会出现一大堆 WARN。

image.png

二、分析

现在不管什么框架，vue、umi、webpack、babel、eslint 都讲究插件化开发，对普通开发人员提供插件书写接口方便自行扩展。想法是好的，但是存在一些问题。

eslint-config-react-app@2.1.0 是 eslint的一个插件，写这个插件的时候 eslint 版本为 4.1.1。eslint 本身需要不断优化升级，版本更迭过程中会不停的新增 api、废弃 api。也就是说，eslint-config-react-app@2.1.0 肯定适用 eslint@4.1.1，但不一定适用 eslint@6.x(6.x 中可能会废弃相关api)。普通用户并不知道这一点，傻乎乎的下载最新的 eslint 和 eslint-config-react-app 最新包，结果无法正常运行。

Npm 为了解决上面的问题，在 npm@1.2.10 之后提供了 peerDependencies 属性，具体使用如下，插件包 eslint-config-react-app 的 package.json 中添加该属性。

{
  // ....
  "peerDependencies": {
    "eslint": "^4.1.1"
  }
}

此时安装插件包 eslint-config-react-app，npm 会检测 node_modules 目录下有没有 eslint@4.x 的包，如果没有 npm 就会报警告⚠️ WARN，这样可以提示用户这里可能会有问题哦~不像之前运行报错而用户却完全无感。(在 npm@5.x 之前会直接报错 ERR，5.x 之后版本改为报警告)

peerDependencies 的出现一定程度上缓解了插件包依赖问题，但 未彻底解决问题。举例：eslint 版本的升级并不一定会大改 api，插件包eslint-config-react-app 在 eslint6.x 也能正常运行，由于插件作者将 peerDependencies 写的太死(4.x)，就会出现问题。你无法指望每个插件作者可以随时跟踪 eslint 主版本的变更，将包依赖问题丢给 人 来做在 dk 看来是最不靠谱的事。

webpack 相关插件都由官方维护，安装过程发现没有出现一行 WARN，很是清爽，那种各种引包造轮子的框架是无法避免这种隐患的。

三、解决

• 升级相关依赖包，期待插件作者有更改依赖版本；
• 去插件包的 github 提 pr，期待作者看到处理并发布新包；
• 寻找符合条件的替代插件；
• 无视它，尽管这是一个隐患，强迫症患者会被逼死。