淘宝 NPM 源竟然会篡改包的下载版本

查看 16|回复 0
作者:bianjp   
淘宝源擅自把 path-to-regexp 1.8.0 版本的下载地址改成了 1.9.0 版本,导致使用了 package-lock.json, yarn.lock 的工程安装依赖失败( checksum 校验失败)。
  • 淘宝源: https://registry.npmmirror.com/path-to-regexp/1.8.0
  • 官方源: https://registry.npmjs.org/path-to-regexp/1.8.0


    好像是这里引入的: https://github.com/cnpm/bug-versions/pull/257/files
    虽然是出于安全考虑,但这样篡改下载地址却影响了存量的 CICD 流程,给开发者造成不便,也破坏了与 NPM 官方源的兼容性(不能自由切换 NPM 源了)。
    一直以为淘宝源是官方源的纯净代理呢,没想到竟会做这样的事,看来要慎用了。
    同事说用腾讯云、华为云的 NPM 源也遇到过一些坑,看来想找个靠谱的国内 NPM 代理都不容易(前端圈这是怎么了?)。
    中科大镜像站有个 NPM 源的反向代理(https://npmreg.proxy.ustclug.org),似乎是比较纯净的,准备试用下。
  • 您需要登录后才可以回帖 登录 | 立即注册

    返回顶部