I documenti di NPM dicono che chiunque può chiamare npm-publish e aggiungere il proprio pacchetto NPM al registro "ufficiale".
Chi controlla questo registro?
Quanto è affidabile per gli scenari di distribuzione della produzione?
Cosa impedisce alle persone di inviare spam a questo registro? Esiste un processo di moderazione / controllo qualità?
La pagina Gestione delle controversie sui nomi dei moduli spiega un caso particolare: cosa dovrebbe essere fatto se si desidera utilizzare per il proprio pacchetto un nome che è già in uso da un pacchetto non prezioso o mai aggiornato. Secondo questa pagina, se non riesci a risolvere la controversia con l'autore originale, devi inviare un'email a [email protected] ( Isaac Z. Schlueter , lo sviluppatore principale di npm ).
Per un caso più generale di controllo del registro (spam, abuso), la comunità stessa dovrebbe occuparsi dei problemi.
C'è un modo gentile per affrontare problemi minori (ad esempio una persona che crede che il suo Hello World sia estremamente prezioso per la comunità, inquinando così il registro): se nessuno scarica il pacchetto, le statistiche sarebbero un ottimo indicatore che altre persone dovrebbero pensarci due volte prima di scaricarlo.
Per problemi più seri, contatta Isaac.
How reliable is it for production deployment scenarios?
Parli dello scenario in cui i pacchetti di terze parti vengono aggiornati da npm attraverso la distribuzione continua?
In questo scenario, il problema di qualcosa che non va è minore:
Leggi altre domande sui tag javascript