为什么 npm pip nuget 这些包管理器不在下载冷门包(下载数量 <300k)的时候弹出提示?经常弄错包名,不仅浪费了时间还很危险,长得像热门包的假包很多有恶意代码。

41 天前
 drymonfidelia
2715 次点击
所在节点    程序员
23 条回复
neoblackcap
39 天前
@drymonfidelia 你的需求不是没有人做,但是社区不好做这个事情,但是私有源提供者倒是很乐意提供这样的解决方案,关键是需要付费,以 Python 为例, 例如 anaconda, 以及 activestate 都是在做这个生意——提供可信的依赖管理。这些都是企业服务了
krixaar
39 天前
@zoumouse #18 因为楼主这种单纯提醒下载量的建议对于恶意包来说如果有这种限制他们肯定会刷量,反而导致真正好用的冷门包没有量让人不敢下,相对来说没有建设性,就是促进内卷刷量。真正有用的解决方案,一是花钱人工审核让企业买单个人用户蹭着用,二是标准库做完善些,这两个方案大家心里都清楚,但都不是一句话两句话能搞定的。
samnya
39 天前
先不说你这个需求是不是合理吧。假设真要实现的话,包管理器和仓库之间也不是强关联的。
基本上包管理器都支持自建私有仓库、镜像仓库等等非“官方”仓库,它也区分不出来哪个是所谓的官方。所以标注虚假包的这个活,需要由谁负责呢?
总不能说 npm 下载任何包的时候,都要去 npmjs 上面验一下吧。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1077876

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX