Chi controlla il registro di npm?

4

I documenti di NPM dicono che chiunque può chiamare npm-publish e aggiungere il proprio pacchetto NPM al registro "ufficiale".

Chi controlla questo registro?

Quanto è affidabile per gli scenari di distribuzione della produzione?

Cosa impedisce alle persone di inviare spam a questo registro? Esiste un processo di moderazione / controllo qualità?

    
posta Assaf Lavie 11.11.2013 - 10:18
fonte

1 risposta

2

La pagina Gestione delle controversie sui nomi dei moduli spiega un caso particolare: cosa dovrebbe essere fatto se si desidera utilizzare per il proprio pacchetto un nome che è già in uso da un pacchetto non prezioso o mai aggiornato. Secondo questa pagina, se non riesci a risolvere la controversia con l'autore originale, devi inviare un'email a [email protected] ( Isaac Z. Schlueter , lo sviluppatore principale di npm ).

Per un caso più generale di controllo del registro (spam, abuso), la comunità stessa dovrebbe occuparsi dei problemi.

  • C'è un modo gentile per affrontare problemi minori (ad esempio una persona che crede che il suo Hello World sia estremamente prezioso per la comunità, inquinando così il registro): se nessuno scarica il pacchetto, le statistiche sarebbero un ottimo indicatore che altre persone dovrebbero pensarci due volte prima di scaricarlo.

  • Per problemi più seri, contatta Isaac.

How reliable is it for production deployment scenarios?

Parli dello scenario in cui i pacchetti di terze parti vengono aggiornati da npm attraverso la distribuzione continua?

In questo scenario, il problema di qualcosa che non va è minore:

  • La distribuzione continua aggiorna il pacchetto di terze parti sul server 1,
  • I test vengono eseguiti,
  • I risultati del test diventano rossi,
  • La versione originale è ripristinata; il server 1 potrebbe tornare online ora
  • Nessun altro server verrebbe aggiornato. Spetta ora allo sviluppatore andare a vedere perché i test falliscono.
risposta data 11.11.2013 - 11:08
fonte

Leggi altre domande sui tag