/local/npm-cache 中的缓存文件能安全删除吗？

一、基础认知：npm 缓存的本质与设计哲学

npm 缓存（默认路径 /local/npm-cache）是 npm v5+ 引入的本地二进制与元数据持久化层，核心由 _cacache（内容寻址缓存）、_logs（操作日志）、_npx（临时 npx 二进制）构成。其设计遵循「幂等性」与「可重建性」原则——所有缓存内容均可从 registry 源（含校验摘要）完整再生，不参与依赖解析决策，仅优化网络与 I/O 性能。

二、安全边界：哪些子目录可无风险清理？

• _cacache/：✅ 完全可删；含 tarball 压缩包、integrity 校验哈希（SHA512）、元数据 JSON；删除后 npm install 将重新下载并验证完整性（通过 integrity 字段比对）
• _logs/：✅ 可删；纯调试日志，无业务影响
• _npx/：✅ 可删；npx 运行时解压的临时二进制，下次调用自动重建
• index.json / content-v2/ 等子结构：✅ 属于 _cacache 内部，无需单独处理

⚠️ 注意：_cacache 中 不存在必须保留的锁文件或状态文件；npm 使用原子写入 + 文件系统硬链接（Linux/macOS）或复制（Windows）保障并发安全，无全局锁依赖。

三、行为验证：清缓存后的安装流程重演

执行 rm -rf /local/npm-cache 后，首次 npm install 的实际行为如下：

1. 读取 package-lock.json 中每个包的 integrity 和 resolved URL
2. 向 registry 发起 HEAD 请求校验 tarball 是否仍可用（v8+ 默认启用 cache-min 策略）
3. 若未命中本地缓存，则 HTTP GET 下载 tarball，并用 lockfile 中的 integrity 值校验 SHA512
4. 校验通过后写入新 _cacache 目录，生成 content-addressed 存储键（如 content-v2/sha512/ab/cd...）

四、高级场景：离线策略与私有 Registry 的兼容性分析

五、工具对比：直接 rm -rf vs npm cache clean --force

二者在绝大多数场景下语义等价，但存在细微差异：

• npm cache clean --force：调用内部 cacache.rm.all() API，确保清理前完成所有 pending 写入 flush，并更新 _cacache/index-v5 索引一致性
• rm -rf /local/npm-cache：绕过 npm 运行时状态管理，极端情况下（如缓存正在被另一 npm 进程写入）可能触发短暂竞态（但因文件系统原子性，不会损坏数据）

✅ 推荐 CI/CD 流水线使用 npm cache clean --force —— 兼容 Windows 符号链接（npm config set cache 若指向 symlink 目录，rm -rf 可能误删源目录）。

六、例外警示：必须人工核查的 3 类高危场景

1. 符号链接缓存目录：若 npm config set cache /path/to/symlink，rm -rf 会穿透链接删除真实目标，需先 readlink -f 校验
2. 自定义 cache-lock-stale 配置：极少数企业定制 npm 客户端修改了锁超时逻辑，需确认 npm config get cache-lock-stale 是否非默认值（默认 60000ms）
3. CI 环境中挂载的共享缓存卷：多 job 并发写入同一缓存目录时，直接 rm -rf 可能导致其他 job 读取中断；应改用 npm cache clean --force + npm ci 隔离模式

七、工程实践：CI/CD 稳定性加固方案

该流程确保：① 缓存清理原子可控；② npm ci 强制基于 lockfile 安装，杜绝 node_modules 差异；③ --prefer-offline 在 warm-up 后生效，兼顾速度与确定性。