嘿，刚好我之前也遇到过类似的需求，给你几个用npm原生工具就能实现的方案，完全符合你要检测「未安装/版本不匹配依赖」、不需要检测过时包的要求：

方法1：用npm ls精准排查 #

直接在项目根目录运行：

npm ls

这个命令会递归遍历所有依赖，并且清晰标记两种你关心的情况：

• missing：package.json里已经声明，但本地完全没安装的包
• mismatch：本地安装的版本和package.json里指定的版本不匹配的包

如果只想看项目的顶层依赖（不想看嵌套的子依赖），可以加--depth=0参数简化输出：

npm ls --depth=0

这个方法完全不会检测“过时包”（也就是比你package.json里版本新的包），只专注对比你声明的和本地实际安装的内容。

方法2：用npm install --dry-run看安装变化 #

要是觉得npm ls的输出太啰嗦，也可以用dry-run模式模拟安装，它会告诉你哪些包会被操作，但不会真的修改本地文件：

npm install --dry-run

从输出里你能快速找到：

• 标added的：就是package.json里有但本地没装的包
• 标updated的：是本地版本和package.json不符，需要对齐的包（注意：这里的更新是匹配你声明的版本，不是升级到最新版）
• 标removed的：本地装了但package.json里没声明的包（如果不需要这个信息可以直接忽略）

方法3：用npm ci做严格一致性检查（适合CI场景） #

如果是在CI环境或者需要严格验证依赖一致性的场景，npm ci是个好选择。它会检查package-lock.json和package.json的匹配度，同时确保所有依赖都正确安装。一旦有缺失或版本不匹配的情况，它会直接报错退出，不会自动修复：

npm ci --dry-run

加上--dry-run参数就只会做检查，不会真的执行安装操作。

内容的提问来源于stack exchange，提问作者J'e