为什么 npm pip nuget 这些包管理器不在下载冷门包（下载数量 <300k）的时候弹出提示？经常弄错包名，不仅浪费了时间还很危险，长得像热门包的假包很多有恶意代码。

drymonfidelia

10 天前

根据下载量好像确实不是很合理，想做坏事随便弄点肉鸡就能刷到 30 万

uni

10 天前

有恶意代码的被发现会直接被删除吧
不过供应链攻击确实是个大问题，甚至 vscode 的插件都有可能会被下马
下载量不是一个好指标，如果有更好的提醒方式就好了

Bijiabo

10 天前

可能你需要用这个指令，要求相关部门强力介入监管。以后发布 NPM 包要求实名认证，并且需要先申请软件著作权。
```sh
npm install -g 反诈中心
```

june4

10 天前

你可以做一个，这功能不太适合直接放到基础工具上，写个 npm 运行包装器就行

moefishtang

9 天前

包管理器 apt 在找不到指定包名的时候会推荐相关包名
不过我觉得还是自己注意比较好

CapNemo

9 天前

感觉单纯下载量不是好指标。我建议根据名称进行搜索，如果存在下载量与当前包的比值大于一定程度的包，则要求用户再次确认。

zxcslove

9 天前

这个还是靠社区自发跟随的黑名单提醒比较合理

Insolitude

9 天前

确实，返回信息提供个包简介，官网和一些相近的包名，来个 2 次确认就行了。有的时候一下子记错了，直接安装了还是挺危险的

xuanbg

9 天前

不会写代码可以不写的。真的，一个成人需要为自己的行为负责，而不是推给别人，让别人来喂你吃饭

zoumouse

8 天前

楼上为什么好多人在喷？楼主说的其实算是供应链投毒一种，确实常见、危险而且暂时没有解决方案，是个很值得讨论的问题。

drymonfidelia

8 天前

@zoumouse V 站大部分人只在意形式主义安全，习惯就好

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.