npm 包 * 与 latest 有什么区别？

在 npm 中，* 和 latest 都可以用于指定依赖的版本，但它们的含义和行为略有不同：

1. latest（默认标签）

• latest 是 npm 包的一个 dist-tag（分发标签），通常指向包的最新稳定版本。
• 当你运行 npm install package-name（不指定版本）时，npm 默认安装的就是 latest 标签对应的版本。
• 包维护者可以手动更改 latest 标签指向哪个版本（例如回滚到之前的稳定版）。

示例：

"dependencies": {
  "lodash": "latest"
}

这会安装当前 latest 标签所指向的版本（比如 4.17.21）。

2. *

• * 是一个 语义化版本（SemVer）通配符，表示“任意版本”。
• 在实践中，npm 通常会将其解析为满足条件的 最高可用版本，通常也等同于 latest，但行为可能受 registry 或 lock 文件影响。
• 使用 * 时，npm 会尝试安装满足 * 的最新版本，这通常就是 latest，但不保证完全一致（尤其在存在预发布版本或自定义标签时）。

示例：

"dependencies": {
  "lodash": "*"
}

这也会安装一个最新版本，但语义上更“宽松”，且可能在某些边缘情况下行为不同（比如当 latest 被显式设置为旧版本时）。

关键区别总结：

| 特性 | latest | * |
|-----------------|------------------------------|------------------------------|
| 类型 | dist-tag（标签） | SemVer 范围（通配符） |
| 可控性 | 包作者可显式设置 | 由 SemVer 规则自动解析 |
| 默认行为 | npm install pkg 默认使用 | 不常用作显式依赖声明 |
| 与预发布版本 | 通常不包含（除非手动设置） | 一般也不包含（除非无稳定版） |
| 可预测性 | 更高（明确指向一个标签） | 略低（依赖解析逻辑） |

建议

• 不要在生产项目中使用 * 或 latest，因为它们会导致依赖版本不确定，可能引发构建不一致或意外升级。
• 推荐使用 固定版本（如 "1.2.3"）或 带范围的 SemVer（如 "^1.2.3"），并配合 package-lock.json 锁定依赖。

如果你只是临时测试某个包，用 latest 是可以接受的；但 * 通常应避免。