目录
搜索和选择要下载的包
目录
您可以使用 npm 搜索栏找到要在项目中使用的包。npm 搜索使用 npms 和 npms 分析器;有关两者更多信息,请参见 https://npms.io/about。
搜索包
-
在搜索栏中,输入搜索词,然后按**Enter**键。您键入时,将显示可能的选项。
-
要根据包搜索排名标准列出排名靠前的包,请在左侧边栏的“排序包”下,单击该标准。例如,要按流行度排序包,请单击“流行度”。
-
在包搜索结果列表中,单击包的名称。
包搜索排名标准
通常,有几十甚至几百个具有相似名称和/或相似用途的包。为了帮助您决定要探索的最佳包,每个包都已使用 npms 分析器根据四个标准进行排名
流行度
流行度表示包被下载的次数。这是表明其他人认为该包有用性的有力指标。
质量
质量包括诸如是否存在 README 文件、稳定性、测试、最新依赖项、自定义网站和代码复杂性等因素。
维护
维护根据开发人员对包的关注度对包进行排名。维护频率更高的包更有可能与当前或即将发布的 npm CLI 版本配合使用,例如。
最佳
最佳将其他三个标准(流行度、质量、维护)以有意义的方式合并成一个分数。
包来源
当包已使用来源发布时,您可以
- 验证包是在哪里以及如何发布的。
- 验证授权用户发布了包。
您可以使用此信息来审核包并确定是否要使用它们。有关 npm 来源的更多信息,请参见“关于 npm 来源”。
要查看 npm 注册表中包的来源信息
-
在 npm 注册表中,导航到一个包。
-
在包页面上,在 README 右侧的“版本”字段中,查找一个绿色复选标记。如果存在一个绿色复选标记,则表示该包已使用来源发布。
-
单击复选标记,然后单击“查看更多详细信息”。
-
查看包的以下信息
- **构建环境**:用于构建包的环境。
- **构建摘要**:指向构建包的工作流运行的链接。
- **源提交**:指向包构建来源的提交的链接。
- **构建文件**:指向用于构建包的工作流文件的链接。
- **公共分类账**:指向证明授权用户发布了包的透明度日志条目的链接。
**注意:**每次您在 npmjs.com 上访问包的来源信息时,npm 都会检查链接的源提交和存储库。如果找不到链接的源提交或存储库,则页面顶部和来源信息旁边将显示错误消息。这是为了告知您无法再建立此包的来源,这可能发生在存储库被删除或设置为私有时。
验证来源证明
当您从注册表下载包时,可以使用以下 CLI 命令验证包的来源
npm audit signatures
此命令检查注册表签名和来源证明。如果包缺少或无效签名或证明,则会返回错误。这可能表明包已被篡改。
**注意:**为了运行审核命令以验证包来源,您必须
- 安装 npm CLI 版本
v9.5.0或更高版本:npm install -g npm@latest - 使用
npm install或npm ci安装依赖项
