npm

npm（全称 Node Package Manager，即“node包管理器”）是Node.js默认的、用JavaScript编写的软件包管理系统。

npm

开发者	艾萨克·施吕特、福里斯特·诺维尔、罗伯特·科瓦尔斯基、多梅尼克·德尼科拉、蒂姆·奥克斯利、埃文·马尔等
当前版本	10.8.3 (2024年8月28日；稳定版本)[1]
原始码库	github.com/npm/cli
编程语言	JavaScript
平台	Linux macOS Windows
许可协议	艺术许可协议2.0
网站	www.npmjs.com/

历史

npm完全用JavaScript写成，最初由艾萨克·施吕特（Isaac Z. Schlueter）开发。艾萨克表示自己意识到“模块管理很糟糕”的问题，并看到了PHP的PEAR与Perl的CPAN等软件的缺点，于是编写了npm。^[2]

2020年3月16日，GitHub CEO Nat Friedman 宣布 GitHub 已签署收购 NPM（npm 背后的公司）的协议，并表示 npm 加入 GitHub 后会继续免费提供公共软件注册中心服务。

说明

npm会随着Node.js自动安装^[3]。npm模块仓库提供了一个名为“registry”的查询服务，用户可通过本地的npm命令下载并安装指定模块。此外用户也可以通过npm把自己设计的模块分发到registry上面^[4]。

registry上面的模块通常采用CommonJS格式，而且都包含一个JSON格式的元文件^[5]。截至2016年7月，npm的registry上面已经注册了超过280,000个模块^[6]。

npm的模块以“先到先得”的原则注册，各模块作者不会发生混乱。然而一旦有人撤回自己发布的模块，那么不仅会使依赖那个模块的项目出现问题，还会带来安全风险^[7]。例如有一个模块叫做“left-pad”，其中只有一个字符串对齐的功能。但是，当作者把它从registry里面移除之后，许多模块便无法正确组建^[8]。

npm的registry没有审核机制，因此会存在一些低质量、不安全甚至有害的模块^[5]，然而npm伺服器的管理员也可以删除有害模块并阻止不怀好意的用户^[9]。

另外也有人为npm制作了统计功能，这样可以让开发者了解各模块的使用情况，帮助他们选择合适的模块。^[10]

使用

npm可以管理本地项目的所需模块并自动维护依赖情况，也可以管理全局安装的JavaScript工具^[11]。

如果一个项目中存在package.json文件，那么用户可以直接使用npm install命令自动安装和维护当前项目所需的所有模块^[12]。在package.json文件中，开发者可以指定每个依赖项的版本范围，这样既可以保证模块自动更新，又不会因为所需模块功能大幅变化导致项目出现问题^[13]。开发者也可以选择将模块固定在某个版本之上^[14]。

在中国大陆，由于防火长城的干扰，开发者可能需要更换软件源才能正常下载和安装模块。

意外

2016年3月，Azer Koçulu移除了他受欢迎的 left-pad 包。尽管 left-pad 在三小时后重新发布，但它造成了广泛的破坏。^[15]npm之后修改了有关政策，以防止将来发生类似事件。^[16]

2022年3月，Brandon Nozaki Miller发布了包含恶意代码的 node-ipc 包版本。使用 node-ipc 的 Vue.js 没有将其包固定到安全版本，这意味着 Vue.js 的部分用户可能会受到恶意代码的影响。^[17]

参考文献

1. Release 10.8.3. 2024年8月28日 [2024年9月22日].
2. Schlueter, Isaac Z. Forget CommonJS. It's dead. **We are server side JavaScript.**. GitHub. 25 March 2013 [2015-01-05]. （原始内容存档于2015-05-08）.
3. Dierx, Peter. A Beginner's Guide to npm — the Node Package Manager. sitepoint. 30 March 2016 [22 July 2016]. （原始内容存档于2017-02-04）.
4. Ampersand.js. Ampersand.js - Learn. ampersandjs.com. [22 July 2016]. （原始内容存档于2016-10-04）.
5. Ojamaa, Andres; Duuna, Karl. Assessing the Security of Node.js Platform. IEEE Xplore. 2012 [22 July 2016]. （原始内容存档于2019-10-18）.
6. Kennedy, Hugh; DeVay, Paul. Understanding npm. Nsight. [22 July 2016]. （原始内容存档于2016年7月8日）.
7. Yegulalp, Serdar. How one yanked JavaScript package wreaked havoc. InfoWorld. 23 March 2016 [22 July 2016]. （原始内容存档于2016-12-05）.
8. Williams, Chris. How one developer just broke Node, Babel and thousands of projects in 11 lines of JavaScript. The Register. [17 April 2016]. （原始内容存档于2016-03-24）.
9. npm, Inc. npm. npm. [22 October 2016]. （原始内容存档于2016-10-22）.
10. npm-stat: download statistics for NPM packages. [2016-12-07]. （原始内容存档于2016-08-11）.
11. Ellingwood, Justin. How To Use npm to Manage Node.js Packages on a Linux Server. DigitalOcean. [22 October 2016]. （原始内容存档于2016-10-22）.
12. npm-install. docs.npmjs. [22 October 2016]. （原始内容存档于2016-12-03）.
13. semver. docs.npmjs. [22 October 2016]. （原始内容存档于2016-12-03）.
14. npm-version. docs.npm. [29 October 2016]. （原始内容存档于2016-12-03）.
15. Williams, Chris; Chief, Editor in. How one developer just broke Node, Babel and thousands of projects in 11 lines of JavaScript. www.theregister.com. [2023-09-10]. （原始内容存档于2023-10-16） （英语）.
16. npm Blog Archive: changes to npm’s unpublish policy. blog.npmjs.org. [2023-09-10]. （原始内容存档于2023-06-23）.
17. BIG sabotage: Famous npm package deletes files to protest Ukraine war. BleepingComputer. [2023-09-10]. （原始内容存档于2022-03-17） （美国英语）.

外部链接

• 官方网站

参见

• 自由软件主题

• JavaScript
• V8 (JavaScript引擎)
• Node.js