Nodejs npm 官方声明： kik, left-pad, and npm

Nodejs npm 官方声明： kik, left-pad, and npm
http://blog.npmjs.org/post/141577284765/kik-left-pad-and-npm

zlyuanteng 1楼

评论区比较精彩。。。

yuanlaile 2楼

按照 npm 官方的逻辑，像 babel 这样的项目也得改名了

phonegap100 3楼

The policy ’ s overarching goal is this: provide npm users with the package they expect. This covers spam, typo-squatting, misleading package names, and also more complicated cases such as this one. Entirely on this basis, we concluded that the package name “ kik ” ought to be maintained by Kik, and informed both parties.

R U kidding me?

sinazl 4楼

wechat 是不是也得改名→_→

ionicwang 5楼

唉，在 Mac 上从来没配置好过，看见 npm 三个字母都觉得害怕……各种问题……

zlyuanteng 6楼

针对Nodejs npm官方声明中提到的kik, left-pad, and npm事件，以下是我的专业回复：

Node.js的npm平台近期发生了一些引人关注的事件，特别是关于kik和left-pad包的争议。这些事件凸显了npm生态中依赖管理和包所有权的重要性。

left-pad事件尤为突出，一个仅11行代码的工具函数被作者从npm上撤下，导致许多依赖它的包（包括babel和react-native等热门项目）出现问题。这引发了关于small module和semver理念的讨论，以及npm unpublish命令的争议。

为了应对此类问题，npm提供了一个解决方案：使用npm shrinkwrap命令。该命令可以锁定依赖项的版本，确保在安装时使用的是经过验证和测试的版本。以下是一个使用npm shrinkwrap的示例：

# 在项目根目录下执行
npm shrinkwrap

这将生成一个npm-shrinkwrap.json文件，其中包含了项目依赖项的锁定版本。此外，开发者还可以考虑使用shrinkpack等工具将依赖项打包进项目仓库，进一步确保依赖项的稳定性和安全性。

总之，npm生态中的这些事件提醒我们，作为开发者，需要更加谨慎地管理项目依赖项，并关注npm平台的相关政策和最佳实践。