Package Manager 包管理器

帮你安装、更新、卸载软件包的工具。

干啥

解决依赖 —— 装 A 自动装 A 依赖的 B、C、D
追踪版本 —— 知道你装了哪些包、哪个版本
拉取 —— 从远程仓库下载
签名验证 —— 验证包没被篡改
卸载干净 —— 删除时连相关依赖一起清

常见 package manager

# Linux 系统包
apt install nmap        # Debian/Ubuntu
dnf install nmap        # RHEL/CentOS
 
# 语言包
pip install requests    # Python
npm install express     # Node.js
cargo add tokio         # Rust
brew install gh         # macOS Homebrew

安全相关

只用官方仓库 —— 第三方源风险大
GPG 签名验证 —— apt 默认验证签名,有问题会警告
定期更新 —— apt update && apt upgrade 修补丁
审计依赖树 —— pip list --outdated, npm audit 等
锁版本 —— 关键生产系统不要无限自动升级,避免上游被攻陷连锁中招