npm

**npm**
開發者	艾薩克·施呂特、福里斯特·諾維爾、羅伯特·科瓦爾斯基、多梅尼克·德尼科拉、蒂姆·奧克斯利、埃文·馬爾等
當前版本	10.8.0 (2024年5月15日；穩定版本);
源代碼庫	github.com/npm/cli;
編程語言	JavaScript
平台	Linux; macOS; Windows
許可協議	藝術許可協議2.0;
網站	www.npmjs.com/

npm（全稱 Node Package Manager，即「node套件管理器」）是Node.js預設的、用JavaScript編寫的軟體套件管理系統。

歷史[編輯]

npm完全用JavaScript寫成，最初由艾薩克·施呂特（Isaac Z. Schlueter）開發。艾薩克表示自己意識到「模塊管理很糟糕」的問題，並看到了PHP的PEAR與Perl的CPAN等軟件的缺點，於是編寫了npm。^[2]

2020年3月16日，GitHub CEO Nat Friedman 宣布 GitHub 已簽署收購 NPM（npm 背後的公司）的協議，並表示 npm 加入 GitHub 後會繼續免費提供公共軟件註冊中心服務。

說明[編輯]

npm會隨着Node.js自動安裝^[3]。npm模塊儲存庫提供了一個名為「registry」的查詢服務，用戶可通過本地的npm命令下載並安裝指定模塊。此外用戶也可以通過npm把自己設計的模塊分發到registry上面^[4]。

registry上面的模塊通常採用CommonJS格式，而且都包含一個JSON格式的元文件^[5]。截至2016年7月，npm的registry上面已經註冊了超過280,000個模塊^[6]。

npm的模塊以「先搶先贏」的原則註冊，各模塊作者不會發生混亂。然而一旦有人撤回自己發布的模塊，那麼不僅會使依附那個模塊的項目出現問題，還會帶來安全風險^[7]。例如有一個模組叫做「left-pad」，其中只有一個字串對齊的功能。但是，當作者把它從registry裡面移除之後，許多模組便無法正確組建^[8]。

npm的registry沒有審核機制，因此會存在一些低質量、不安全甚至有害的模塊^[5]，然而npm服務器的管理員也可以刪除有害模塊並阻止不懷好意的用戶^[9]。

另外也有人為npm製作了統計功能，這樣可以讓開發者了解各模塊的使用情況，幫助他們選擇合適的模塊。^[10]

使用[編輯]

npm可以管理本地項目的所需模塊並自動維護相依性，也可以管理全局安裝的JavaScript工具^[11]。

如果一個項目中存在package.json文件，那麼用戶可以直接使用npm install命令自動安裝和維護當前項目所需的所有模塊^[12]。在package.json文件中，開發者可以指定每個相依項的版本範圍，這樣既可以保證模塊自動更新，又不會因為所需模塊功能大幅變化導致項目出現問題^[13]。開發者也可以選擇將模塊固定在某個版本之上^[14]。

在中國大陸，由於防火長城的干擾，開發者可能需要更換軟件源才能正常下載和安裝模塊。

意外[編輯]

2016年3月，Azer Koçulu移除了他受歡迎的 left-pad 套件。儘管 left-pad 在三小時後重新發布，但它造成了廣泛的破壞。^[15]npm之後修改了有關政策，以防止將來發生類似事件。^[16]

2022年3月，Brandon Nozaki Miller發布了包含惡意代碼的 node-ipc 套件版本。使用 node-ipc 的 Vue.js 沒有將其套件固定到安全版本，這意味著 Vue.js 的部分用戶可能會受到惡意代碼的影響。^[17]

參考文獻[編輯]

^ Release 10.8.0. 2024年5月15日 [2024年5月23日].
^ Schlueter, Isaac Z. Forget CommonJS. It's dead. **We are server side JavaScript.**. GitHub. 25 March 2013 [2015-01-05]. （原始內容存檔於2015-05-08）.
^ Dierx, Peter. A Beginner's Guide to npm — the Node Package Manager. sitepoint. 30 March 2016 [22 July 2016]. （原始內容存檔於2017-02-04）.
^ Ampersand.js. Ampersand.js - Learn. ampersandjs.com. [22 July 2016]. （原始內容存檔於2016-10-04）.
^ ^5.0 ^5.1 Ojamaa, Andres; Duuna, Karl. Assessing the Security of Node.js Platform. IEEE Xplore. 2012 [22 July 2016]. （原始內容存檔於2019-10-18）.
^ Kennedy, Hugh; DeVay, Paul. Understanding npm. Nsight. [22 July 2016]. （原始內容存檔於2016年7月8日）.
^ Yegulalp, Serdar. How one yanked JavaScript package wreaked havoc. InfoWorld. 23 March 2016 [22 July 2016]. （原始內容存檔於2016-12-05）.
^ Williams, Chris. How one developer just broke Node, Babel and thousands of projects in 11 lines of JavaScript. The Register. [17 April 2016]. （原始內容存檔於2016-03-24）.
^ npm, Inc. npm. npm. [22 October 2016]. （原始內容存檔於2016-10-22）.
^ npm-stat: download statistics for NPM packages. [2016-12-07]. （原始內容存檔於2016-08-11）.
^ Ellingwood, Justin. How To Use npm to Manage Node.js Packages on a Linux Server. DigitalOcean. [22 October 2016]. （原始內容存檔於2016-10-22）.
^ npm-install. docs.npmjs. [22 October 2016]. （原始內容存檔於2016-12-03）.
^ semver. docs.npmjs. [22 October 2016]. （原始內容存檔於2016-12-03）.
^ npm-version. docs.npm. [29 October 2016]. （原始內容存檔於2016-12-03）.
^ Williams, Chris; Chief, Editor in. How one developer just broke Node, Babel and thousands of projects in 11 lines of JavaScript. www.theregister.com. [2023-09-10]. （原始內容存檔於2023-10-16）（英語）.
^ npm Blog Archive: changes to npm’s unpublish policy. blog.npmjs.org. [2023-09-10]. （原始內容存檔於2023-06-23）.
^ BIG sabotage: Famous npm package deletes files to protest Ukraine war. BleepingComputer. [2023-09-10]. （原始內容存檔於2022-03-17）（美國英語）.

外部連結[編輯]

官方網站

參見[編輯]

[wikidata-b3e08c6fa19f24208e21d54065dec6a8a4f83aa7-v3-1] Release 10.8.0. 2024年5月15日 [2024年5月23日].

[2] Schlueter, Isaac Z. Forget CommonJS. It's dead. **We are server side JavaScript.**. GitHub. 25 March 2013 [2015-01-05]. （原始內容存檔於2015-05-08）.

[dierx16-3] Dierx, Peter. A Beginner's Guide to npm — the Node Package Manager. sitepoint. 30 March 2016 [22 July 2016]. （原始內容存檔於2017-02-04）.

[ampersandjs-4] Ampersand.js. Ampersand.js - Learn. ampersandjs.com. [22 July 2016]. （原始內容存檔於2016-10-04）.

[OjamaaDuuna12-5] 5.0 ^5.1 Ojamaa, Andres; Duuna, Karl. Assessing the Security of Node.js Platform. IEEE Xplore. 2012 [22 July 2016]. （原始內容存檔於2019-10-18）.

[KennedyDevay16-6] Kennedy, Hugh; DeVay, Paul. Understanding npm. Nsight. [22 July 2016]. （原始內容存檔於2016年7月8日）.

[Yegulalp16-7] Yegulalp, Serdar. How one yanked JavaScript package wreaked havoc. InfoWorld. 23 March 2016 [22 July 2016]. （原始內容存檔於2016-12-05）.

[8] Williams, Chris. How one developer just broke Node, Babel and thousands of projects in 11 lines of JavaScript. The Register. [17 April 2016]. （原始內容存檔於2016-03-24）.

[npm22-10-16-9] , Inc. npm. npm. [22 October 2016]. （原始內容存檔於2016-10-22）.

[10] -stat: download statistics for NPM packages. [2016-12-07]. （原始內容存檔於2016-08-11）.

[Ellingwood16-11] Ellingwood, Justin. How To Use npm to Manage Node.js Packages on a Linux Server. DigitalOcean. [22 October 2016]. （原始內容存檔於2016-10-22）.

[npm-install-docs-12] -install. docs.npmjs. [22 October 2016]. （原始內容存檔於2016-12-03）.

[npm-semver-docs-13] semver. docs.npmjs. [22 October 2016]. （原始內容存檔於2016-12-03）.

[npm-version-dcs-14] -version. docs.npm. [29 October 2016]. （原始內容存檔於2016-12-03）.

[15] Williams, Chris; Chief, Editor in. How one developer just broke Node, Babel and thousands of projects in 11 lines of JavaScript. www.theregister.com. [2023-09-10]. （原始內容存檔於2023-10-16）（英語）.

[16] Blog Archive: changes to npm’s unpublish policy. blog.npmjs.org. [2023-09-10]. （原始內容存檔於2023-06-23）.

[17] BIG sabotage: Famous npm package deletes files to protest Ukraine war. BleepingComputer. [2023-09-10]. （原始內容存檔於2022-03-17）（美國英語）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]