[英]How to find the reliable dependency packages with NPM?
例如,使用 shell 添加新的依赖项 package:
npm install typescript
我对那个 package 的提供者一无所知。
In contrast, with maven (a package manager using in Java), add some new dependency package by changing the xml config file:
<dependency>
<groupId>com.google.guava</groupId>
<artifactId>guava</artifactId>
<version>31.1-jre</version>
</dependency>
至少,我知道提供商与“google.com”的域所有者有某种关系。
您正在为您的软件包使用一些提供程序,例如npmjs或yarnpkg (几乎所有的替代品都只是 npmjs 的镜像,就像 java 的 maven-central 一样)
例如,您可以在那里搜索 Typescript ,您将获得所需的信息。
Tbh 更容易将恶意内容发布到 npmjs 并且它是一个常见问题(例如寻找拼写错误的包),而且在大型项目中通常无法监督依赖项。
一些包还具有类似于 maven 中的 groupid 的范围。 例如@vue/cli和@vue/test-utils都在scope @vue
您的下载是可靠的。 它们将在您的package-lock.json中包含哈希值,如果您使用npm ci而不是npm install ,您将始终安装完全相同的版本。
如何在npm项目中查找node-gyp依赖项(..或任何依赖项)
[英]How to find node-gyp dependency (..or any dependency) in npm project
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.