npm官方对包的命名方式进行了一些修改,为的是更好的防御「误植」攻击,同时帮助包开发者们挑选出更加合适的包名
image.png
1、包名类似,拒绝发布
把包名中的标点符号去掉并与现有的包进行比较,相同则不允许发布
例如:react-native已经存在,那么诸如
- reactnative
- react_native
- react.native
的就不可以再发布了
2、使用作用域
如果因为你起的包名与现有的包名太相近而被阻止发布这个包,那么找到一个独一无二包名最简单方法就是使用自己的作用域。你可以使用@+你的npm用户名加在包名前面将包划到你的npm账户作用域下。比如,我的npm用户名是caowen,所以我的作用域是@caowen。
所以在package.json文件里把
{
"name": “react-native"
}
修改成
{
"name": “@caowe/react-native"
}
然后我要发布这个包。被划了作用域的包默认是私有的,所以要通过—access=public让它变为公有的包:
> npm publish --access=public
+ @caowe/react-native@1.0.0
3、包命名的历史
在npm注册表上,包名的历史是一个很小心的地添加条件限制的过程。在最早的时候,npm允许在包名上添加url安全字符,包括大写和小写字母。但是现在创建的包名中不能再有大写字母了,但是在npm注册表中那些包名中有大写字母的包依然存在也依然在使用,包名仅仅在大小写上的差异让我们第一次遇到了误植事件!
可能大多数人遇到的例子是jsonstream。JSONStream 和 jsonstream 是不同的包但是很难区分,在一些大小写不敏感的系统中安装这些包就可能有问题
4、好的包名可以帮助到所有人
我们希望新的包名规则可以帮助包开发者们挑选出合适的名字,并且能够帮助用户去避免意外获取到错误的包。
