标签: 依赖管理

**技术背景**：Gradle 项目依赖下载慢，常需配置国内镜像源加速。 **关键问题**：重复在每个项目 build.gradle 配置繁琐。 **主要方案**：优先修改全局 `~/.gradle/init.gradle`，添加阿里云镜像（如 public、google 等仓库）；单项目则改 `settings.gradle` 配置 `pluginManagement` 和 `dependencyResolutionManagement`。验证：运行 `./gradlew build --info` 检查日志。

pnpm 通过内容寻址存储和虚拟存储目录实现高效依赖管理，`pnpm prune --prod` 可优化生产环境依赖。全局存储通过硬链接节省空间，定期清理可释放磁盘。pnpm patch 用于修复和定制依赖。`.npmrc` 配置优化安装和存储，可进行依赖完整性验证和安全审计。未来趋势包括 Zstandard 压缩、多包仓库优化和签名验证。

本文针对 Node.js 项目中 OpenSSL 兼容性与依赖管理问题，分析了 OpenSSL 3.0 升级带来的兼容性挑战，并提供了降级 Node.js、启用旧版 Provider 等临时解决方案，以及锁定版本、多阶段构建、安全依赖白名单等工程化实践，帮助开发者应对历史遗留项目的维护困境。

npm供应链攻击风险日益增加，`postinstall`脚本易被利用执行恶意代码。pnpm提供`onlyBuiltDependencies`和`onlyBuiltDependenciesFile`配置，限制允许执行安装脚本的依赖，提升项目安全性。需审查依赖，配置pnpm设置，定期更新依赖并监控安装日志，加强团队安全意识。

本文介绍了使用pnpm优化Node.js项目依赖管理的技巧。包括：使用`pnpm install --prod`或`pnpm prune --prod`命令仅安装或保留生产依赖，避免引入开发依赖造成镜像臃肿；使用`pnpm store prune`清理pnpm全局存储，释放磁盘空间；以及使用`pnpm patch`。