目录导航
- 撤销(Ctrl+Z)
- 重做(Ctrl+Y)
- 清空
- H 标题(Ctrl+1~6)
- 一级标题
- 二级标题
- 三级标题
- 四级标题
- 五级标题
- 六级标题
- 插入提示
- 提示
- 注意
- 警告
- 详细信息
- 粗体(Ctrl+B)
- 斜体(Ctrl+I)
- 删除线
- 插入引用(Ctrl+Q)
- 无序列表(Ctrl+U)
- 有序列表(Ctrl+O)
- 表格
- 插入分割线
- 插入链接(Ctrl+L)
- 插入图片
- 添加图片链接
- 插入代码块
- 关闭同步滚动
- 全屏(按ESC还原)
- 开启预览
<div class="markdown_body"><p>淘宝源擅自把 path-to-regexp 1.8.0 版本的下载地址改成了 1.9.0 版本,导致使用了 package-lock.json, yarn.lock 的工程安装依赖失败( checksum 校验失败)。</p> <ul> <li>淘宝源: <a href="https://registry.npmmirror.com/path-to-regexp/1.8.0" rel="nofollow">https://registry.npmmirror.com/path-to-regexp/1.8.0</a></li> <li>官方源: <a href="https://registry.npmjs.org/path-to-regexp/1.8.0" rel="nofollow">https://registry.npmjs.org/path-to-regexp/1.8.0</a></li> </ul> <p><img alt="https://i.imgur.com/kJbQ1hZ.png" class="embedded_image" loading="lazy" referrerpolicy="no-referrer" rel="noreferrer" src="https://i.imgur.com/kJbQ1hZ.png"></p> <p>好像是这里引入的: <a href="https://github.com/cnpm/bug-versions/pull/257/files" rel="nofollow">https://github.com/cnpm/bug-versions/pull/257/files</a></p> <p>虽然是出于安全考虑,但这样篡改下载地址却影响了存量的 CICD 流程,给开发者造成不便,也破坏了与 NPM 官方源的兼容性(不能自由切换 NPM 源了)。</p> <p>一直以为淘宝源是官方源的纯净代理呢,没想到竟会做这样的事,看来要慎用了。</p> <p>同事说用腾讯云、华为云的 NPM 源也遇到过一些坑,看来想找个靠谱的国内 NPM 代理都不容易(前端圈这是怎么了?)。</p> <p>中科大镜像站有个 NPM 源的反向代理(<a href="https://npmreg.proxy.ustclug.org" rel="nofollow">https://npmreg.proxy.ustclug.org</a>),似乎是比较纯净的,准备试用下。</p> </div>
淘宝源擅自把 path-to-regexp 1.8.0 版本的下载地址改成了 1.9.0 版本,导致使用了 package-lock.json, yarn.lock 的工程安装依赖失败( checksum 校验失败)。
- 淘宝源: https://registry.npmmirror.com/path-to-regexp/1.8.0
- 官方源: https://registry.npmjs.org/path-to-regexp/1.8.0
好像是这里引入的: https://github.com/cnpm/bug-versions/pull/257/files
虽然是出于安全考虑,但这样篡改下载地址却影响了存量的 CICD 流程,给开发者造成不便,也破坏了与 NPM 官方源的兼容性(不能自由切换 NPM 源了)。
一直以为淘宝源是官方源的纯净代理呢,没想到竟会做这样的事,看来要慎用了。
同事说用腾讯云、华为云的 NPM 源也遇到过一些坑,看来想找个靠谱的国内 NPM 代理都不容易(前端圈这是怎么了?)。
中科大镜像站有个 NPM 源的反向代理(https://npmreg.proxy.ustclug.org),似乎是比较纯净的,准备试用下。
user2 • • 目录导航
真难伺候。 |
 user3 • • 目录导航
没事儿别碰国内这些大厂 |
 user1 • • 目录导航
打开代理,去掉各种第三方源。一样丝滑。 |
user2 • • 目录导航
开发者本地翻墙没问题,但是公司的 CICD 服务器、NPM 私服都部署在内网服务器上,且不允许翻墙,所以只能找个国内的 NPM 代理。 |
user3 • • 目录导航
你的 CICD 直连外网拉包么。。。 |
user1 • • 目录导航
确实 path-to-regexp@1.8.0 是一个 bug version ,但是也不应该有 npm 源来进行纠错 |
user2 • • 目录导航
合理一点的做法是默认不允许安装,加参数强制安装,默认替换是什么操作 |
user3 • • 目录导航
他们是给自己开发的,只是顺便公开出来给大家用一下 |
user1 • • 目录导航
赞同 9 楼,镜像源这个东西你不用他们好像没任何损失 |
user2 • • 目录导航
其实关键并不是 npminstall 的这个提交,可能、应该、也许出发点是好的 |
user3 • • 目录导航
这种时候就需要赛博大善人出马了。 dockerhub 和 npm 都可以用 cf worker |
user1 • • 目录导航
我建议是设置下.npmrc ,下载你需要的包上传到内网的包管理服务器,例如 gitea 的包管理或者 Nexus,然后替换你本地的引入 |
user2 • • 目录导航
|
user3 • • 目录导航
|
user1 • • 目录导航
可以理解 op 的状况,本地开发还好,CI 很多情况下是不能用代理的,就算能用代理 下载速度也是没法跟用国内镜像源相比 |
user2 • • 目录导航
只能换新的镜像源了 |
user3 • • 目录导航
大开眼界 |
user1 • • 目录导航
之前国内的 docker 仓库也会存在这些问题 |
user2 • • 目录导航
让公司在外网做一个 npm 私服穿墙,然后内网私服连外网私服, 🐶 |
一直是代理连官方源