淘宝 NPM 源竟然会篡改包的下载版本

user2 • 1 年前 • 3 次点击

<div class="markdown_body"><p>淘宝源擅自把 path-to-regexp 1.8.0 版本的下载地址改成了 1.9.0 版本，导致使用了 package-lock.json, yarn.lock 的工程安装依赖失败（ checksum 校验失败）。</p>
<ul>
<li>淘宝源: <a href="https://registry.npmmirror.com/path-to-regexp/1.8.0" rel="nofollow">https://registry.npmmirror.com/path-to-regexp/1.8.0</a></li>
<li>官方源: <a href="https://registry.npmjs.org/path-to-regexp/1.8.0" rel="nofollow">https://registry.npmjs.org/path-to-regexp/1.8.0</a></li>
</ul>
<p><img alt="https://i.imgur.com/kJbQ1hZ.png" class="embedded_image" loading="lazy" referrerpolicy="no-referrer" rel="noreferrer" src="https://i.imgur.com/kJbQ1hZ.png"></p>
<p>好像是这里引入的: <a href="https://github.com/cnpm/bug-versions/pull/257/files" rel="nofollow">https://github.com/cnpm/bug-versions/pull/257/files</a></p>
<p>虽然是出于安全考虑，但这样篡改下载地址却影响了存量的 CICD 流程，给开发者造成不便，也破坏了与 NPM 官方源的兼容性（不能自由切换 NPM 源了）。</p>
<p>一直以为淘宝源是官方源的纯净代理呢，没想到竟会做这样的事，看来要慎用了。</p>
<p>同事说用腾讯云、华为云的 NPM 源也遇到过一些坑，看来想找个靠谱的国内 NPM 代理都不容易（前端圈这是怎么了？）。</p>
<p>中科大镜像站有个 NPM 源的反向代理(<a href="https://npmreg.proxy.ustclug.org" rel="nofollow">https://npmreg.proxy.ustclug.org</a>)，似乎是比较纯净的，准备试用下。</p>
</div>

<div class="markdown_body">淘宝源擅自把 path-to-regexp 1.8.0 版本的下载地址改成了 1.9.0 版本，导致使用了 package-lock.json, yarn.lock 的工程安装依赖失败（ checksum 校验失败）。
<ul>
<li>淘宝源: <a href="https://registry.npmmirror.com/path-to-regexp/1.8.0" rel="nofollow">https://registry.npmmirror.com/path-to-regexp/1.8.0</a></li>
<li>官方源: <a href="https://registry.npmjs.org/path-to-regexp/1.8.0" rel="nofollow">https://registry.npmjs.org/path-to-regexp/1.8.0</a></li>
</ul>
<img alt="https://i.imgur.com/kJbQ1hZ.png" class="embedded_image" loading="lazy" referrerpolicy="no-referrer" rel="noreferrer" src="https://i.imgur.com/kJbQ1hZ.png">
好像是这里引入的: <a href="https://github.com/cnpm/bug-versions/pull/257/files" rel="nofollow">https://github.com/cnpm/bug-versions/pull/257/files</a>
虽然是出于安全考虑，但这样篡改下载地址却影响了存量的 CICD 流程，给开发者造成不便，也破坏了与 NPM 官方源的兼容性（不能自由切换 NPM 源了）。
一直以为淘宝源是官方源的纯净代理呢，没想到竟会做这样的事，看来要慎用了。
同事说用腾讯云、华为云的 NPM 源也遇到过一些坑，看来想找个靠谱的国内 NPM 代理都不容易（前端圈这是怎么了？）。
中科大镜像站有个 NPM 源的反向代理(<a href="https://npmreg.proxy.ustclug.org" rel="nofollow">https://npmreg.proxy.ustclug.org</a>)，似乎是比较纯净的，准备试用下。
</div>

淘宝源擅自把 path-to-regexp 1.8.0 版本的下载地址改成了 1.9.0 版本，导致使用了 package-lock.json, yarn.lock 的工程安装依赖失败（ checksum 校验失败）。

淘宝源: https://registry.npmmirror.com/path-to-regexp/1.8.0
官方源: https://registry.npmjs.org/path-to-regexp/1.8.0

好像是这里引入的: https://github.com/cnpm/bug-versions/pull/257/files

虽然是出于安全考虑，但这样篡改下载地址却影响了存量的 CICD 流程，给开发者造成不便，也破坏了与 NPM 官方源的兼容性（不能自由切换 NPM 源了）。

一直以为淘宝源是官方源的纯净代理呢，没想到竟会做这样的事，看来要慎用了。

同事说用腾讯云、华为云的 NPM 源也遇到过一些坑，看来想找个靠谱的国内 NPM 代理都不容易（前端圈这是怎么了？）。

中科大镜像站有个 NPM 源的反向代理(https://npmreg.proxy.ustclug.org)，似乎是比较纯净的，准备试用下。


user3 • 1 年前 • 目录导航撤销（Ctrl+Z）重做（Ctrl+Y）清空 H 标题（Ctrl+1~6）一级标题二级标题三级标题四级标题五级标题六级标题插入提示提示注意警告详细信息粗体（Ctrl+B）斜体（Ctrl+I）删除线插入引用（Ctrl+Q）无序列表（Ctrl+U）有序列表（Ctrl+O）表格插入分割线插入链接（Ctrl+L）插入图片添加图片链接插入代码块关闭同步滚动全屏（按ESC还原）开启预览很久没用过国内镜像了。<br>pip npm composer go 通通走代理。<br>速度比国内镜像还快,也各种奇葩的网络小问题。<br><br>ps: 公司电脑内网服务器:<br>export http_proxy=http://192.168.50.30:7890<br>export https_proxy=http://192.168.50.30:7890<br><br>外网服务器没辙,装代理客户端麻烦。很久没用过国内镜像了。<br>pip npm composer go 通通走代理。<br>速度比国内镜像还快,也各种奇葩的网络小问题。<br><br>ps: 公司电脑内网服务器:<br>export http_proxy=http://192.168.50.30:7890<br>export https_proxy=http://192.168.50.30:7890<br><br>外网服务器没辙,装代理客户端麻烦。很久没用过国内镜像了。 pip npm composer go 通通走代理。速度比国内镜像还快,也各种奇葩的网络小问题。 ps: 公司电脑内网服务器: export http_proxy=http://192.168.50.30:7890 export https_proxy=http://192.168.50.30:7890 外网服务器没辙,装代理客户端麻烦。
user1 • 1 年前 • 目录导航撤销（Ctrl+Z）重做（Ctrl+Y）清空 H 标题（Ctrl+1~6）一级标题二级标题三级标题四级标题五级标题六级标题插入提示提示注意警告详细信息粗体（Ctrl+B）斜体（Ctrl+I）删除线插入引用（Ctrl+Q）无序列表（Ctrl+U）有序列表（Ctrl+O）表格插入分割线插入链接（Ctrl+L）插入图片添加图片链接插入代码块关闭同步滚动全屏（按ESC还原）开启预览 @<a href="/member/lyxxxh2">lyxxxh2</a> <br>速度比国内镜像还快,也没各种奇葩的网络小问题。 @<a href="/member/lyxxxh2">lyxxxh2</a> <br>速度比国内镜像还快,也没各种奇葩的网络小问题。 @lyxxxh2 速度比国内镜像还快,也没各种奇葩的网络小问题。
user2 • 1 年前 • 目录导航撤销（Ctrl+Z）重做（Ctrl+Y）清空 H 标题（Ctrl+1~6）一级标题二级标题三级标题四级标题五级标题六级标题插入提示提示注意警告详细信息粗体（Ctrl+B）斜体（Ctrl+I）删除线插入引用（Ctrl+Q）无序列表（Ctrl+U）有序列表（Ctrl+O）表格插入分割线插入链接（Ctrl+L）插入图片添加图片链接插入代码块关闭同步滚动全屏（按ESC还原）开启预览我一直以为淘宝源有 bug ，一直很抵触用淘宝源，原来是我错怪他了🤭原来不是镜像源呀我一直以为淘宝源有 bug ，一直很抵触用淘宝源，原来是我错怪他了🤭原来不是镜像源呀我一直以为淘宝源有 bug ，一直很抵触用淘宝源，原来是我错怪他了🤭原来不是镜像源呀
user3 • 1 年前 • 目录导航撤销（Ctrl+Z）重做（Ctrl+Y）清空 H 标题（Ctrl+1~6）一级标题二级标题三级标题四级标题五级标题六级标题插入提示提示注意警告详细信息粗体（Ctrl+B）斜体（Ctrl+I）删除线插入引用（Ctrl+Q）无序列表（Ctrl+U）有序列表（Ctrl+O）表格插入分割线插入链接（Ctrl+L）插入图片添加图片链接插入代码块关闭同步滚动全屏（按ESC还原）开启预览你们公司内部没有代理镜像吗? 你们公司内部没有代理镜像吗? 你们公司内部没有代理镜像吗?
user1 • 1 年前 • 目录导航撤销（Ctrl+Z）重做（Ctrl+Y）清空 H 标题（Ctrl+1~6）一级标题二级标题三级标题四级标题五级标题六级标题插入提示提示注意警告详细信息粗体（Ctrl+B）斜体（Ctrl+I）删除线插入引用（Ctrl+Q）无序列表（Ctrl+U）有序列表（Ctrl+O）表格插入分割线插入链接（Ctrl+L）插入图片添加图片链接插入代码块关闭同步滚动全屏（按ESC还原）开启预览之前本来 bun 要默认使用淘宝镜像，也是因为会替换版本所以没有上。<br><a target="_blank" href="https://github.com/oven-sh/bun/pull/12936#issuecomment-2265147603" rel="nofollow noopener">https://github.com/oven-sh/bun/pull/12936#issuecomment-2265147603</a><br><br>> npmmirror has a BugVersionService which will replace the manifest of version A (which has bugs) with version B (fixed version). This mechanism will cause the integrity inconsistency between npmmirror and other registries. 之前本来 bun 要默认使用淘宝镜像，也是因为会替换版本所以没有上。<br><a target="_blank" href="https://github.com/oven-sh/bun/pull/12936#issuecomment-2265147603" rel="nofollow noopener">https://github.com/oven-sh/bun/pull/12936#issuecomment-2265147603</a><br><br>> npmmirror has a BugVersionService which will replace the manifest of version A (which has bugs) with version B (fixed version). This mechanism will cause the integrity inconsistency between npmmirror and other registries. 之前本来 bun 要默认使用淘宝镜像，也是因为会替换版本所以没有上。 https://github.com/oven-sh/bun/pull/12936#issuecomment-2265147603 > npmmirror has a BugVersionService which will replace the manifest of version A (which has bugs) with version B (fixed version). This mechanism will cause the integrity inconsistency between npmmirror and other registries.
user2 • 1 年前 • 目录导航撤销（Ctrl+Z）重做（Ctrl+Y）清空 H 标题（Ctrl+1~6）一级标题二级标题三级标题四级标题五级标题六级标题插入提示提示注意警告详细信息粗体（Ctrl+B）斜体（Ctrl+I）删除线插入引用（Ctrl+Q）无序列表（Ctrl+U）有序列表（Ctrl+O）表格插入分割线插入链接（Ctrl+L）插入图片添加图片链接插入代码块关闭同步滚动全屏（按ESC还原）开启预览 @<a href="/member/bianjp">bianjp</a> #5 自己搭代理呗 @<a href="/member/bianjp">bianjp</a> #5 自己搭代理呗 @bianjp #5 自己搭代理呗
user3 • 1 年前 • 目录导航撤销（Ctrl+Z）重做（Ctrl+Y）清空 H 标题（Ctrl+1~6）一级标题二级标题三级标题四级标题五级标题六级标题插入提示提示注意警告详细信息粗体（Ctrl+B）斜体（Ctrl+I）删除线插入引用（Ctrl+Q）无序列表（Ctrl+U）有序列表（Ctrl+O）表格插入分割线插入链接（Ctrl+L）插入图片添加图片链接插入代码块关闭同步滚动全屏（按ESC还原）开启预览 CICD 不能用外网也没什么大问题,<br><br>开发时使用在线源,推到线上版本全部都是用 tgz 的本地包,<br><br>依赖库包 tgz 文件全部推送到代码仓库.不使用在线安装就不用担心连不上 npm 源了 CICD 不能用外网也没什么大问题,<br><br>开发时使用在线源,推到线上版本全部都是用 tgz 的本地包,<br><br>依赖库包 tgz 文件全部推送到代码仓库.不使用在线安装就不用担心连不上 npm 源了 CICD 不能用外网也没什么大问题, 开发时使用在线源,推到线上版本全部都是用 tgz 的本地包, 依赖库包 tgz 文件全部推送到代码仓库.不使用在线安装就不用担心连不上 npm 源了
user1 • 1 年前 • 目录导航撤销（Ctrl+Z）重做（Ctrl+Y）清空 H 标题（Ctrl+1~6）一级标题二级标题三级标题四级标题五级标题六级标题插入提示提示注意警告详细信息粗体（Ctrl+B）斜体（Ctrl+I）删除线插入引用（Ctrl+Q）无序列表（Ctrl+U）有序列表（Ctrl+O）表格插入分割线插入链接（Ctrl+L）插入图片添加图片链接插入代码块关闭同步滚动全屏（按ESC还原）开启预览 @<a href="/member/lyxxxh2">lyxxxh2</a> #21 那可太简单了，外网服务器用 docker 起个 client 容器，直接走容器的端口不就好了，环境隔离没风险。 @<a href="/member/lyxxxh2">lyxxxh2</a> #21 那可太简单了，外网服务器用 docker 起个 client 容器，直接走容器的端口不就好了，环境隔离没风险。 @lyxxxh2 #21 那可太简单了，外网服务器用 docker 起个 client 容器，直接走容器的端口不就好了，环境隔离没风险。
user2 • 1 年前 • 目录导航撤销（Ctrl+Z）重做（Ctrl+Y）清空 H 标题（Ctrl+1~6）一级标题二级标题三级标题四级标题五级标题六级标题插入提示提示注意警告详细信息粗体（Ctrl+B）斜体（Ctrl+I）删除线插入引用（Ctrl+Q）无序列表（Ctrl+U）有序列表（Ctrl+O）表格插入分割线插入链接（Ctrl+L）插入图片添加图片链接插入代码块关闭同步滚动全屏（按ESC还原）开启预览居然没看懂，啥情况？居然没看懂，啥情况？居然没看懂，啥情况？
user3 • 1 年前 • 目录导航撤销（Ctrl+Z）重做（Ctrl+Y）清空 H 标题（Ctrl+1~6）一级标题二级标题三级标题四级标题五级标题六级标题插入提示提示注意警告详细信息粗体（Ctrl+B）斜体（Ctrl+I）删除线插入引用（Ctrl+Q）无序列表（Ctrl+U）有序列表（Ctrl+O）表格插入分割线插入链接（Ctrl+L）插入图片添加图片链接插入代码块关闭同步滚动全屏（按ESC还原）开启预览 @<a href="/member/shiny">shiny</a> 真就是负负得正了，bun 这个改动也是骂声一片，现在好了。 @<a href="/member/shiny">shiny</a> 真就是负负得正了，bun 这个改动也是骂声一片，现在好了。 @shiny 真就是负负得正了，bun 这个改动也是骂声一片，现在好了。
user1 • 1 年前 • 目录导航撤销（Ctrl+Z）重做（Ctrl+Y）清空 H 标题（Ctrl+1~6）一级标题二级标题三级标题四级标题五级标题六级标题插入提示提示注意警告详细信息粗体（Ctrl+B）斜体（Ctrl+I）删除线插入引用（Ctrl+Q）无序列表（Ctrl+U）有序列表（Ctrl+O）表格插入分割线插入链接（Ctrl+L）插入图片添加图片链接插入代码块关闭同步滚动全屏（按ESC还原）开启预览 @<a href="/member/lyxxxh2">lyxxxh2</a> 我全部用清华源 os/语言/库... @<a href="/member/lyxxxh2">lyxxxh2</a> 我全部用清华源 os/语言/库... @lyxxxh2 我全部用清华源 os/语言/库…
user2 • 1 年前 • 目录导航撤销（Ctrl+Z）重做（Ctrl+Y）清空 H 标题（Ctrl+1~6）一级标题二级标题三级标题四级标题五级标题六级标题插入提示提示注意警告详细信息粗体（Ctrl+B）斜体（Ctrl+I）删除线插入引用（Ctrl+Q）无序列表（Ctrl+U）有序列表（Ctrl+O）表格插入分割线插入链接（Ctrl+L）插入图片添加图片链接插入代码块关闭同步滚动全屏（按ESC还原）开启预览我去，这你么一个镜像随便改源的东西，还从来没有告知过，简直有病啊。<br>更好的方法是提供一个正常镜像地址，一个 bug 修复镜像地址，如果只提供 bug 修复镜像地址，也应该在官网明确告知啊。我去，这你么一个镜像随便改源的东西，还从来没有告知过，简直有病啊。<br>更好的方法是提供一个正常镜像地址，一个 bug 修复镜像地址，如果只提供 bug 修复镜像地址，也应该在官网明确告知啊。我去，这你么一个镜像随便改源的东西，还从来没有告知过，简直有病啊。更好的方法是提供一个正常镜像地址，一个 bug 修复镜像地址，如果只提供 bug 修复镜像地址，也应该在官网明确告知啊。
user3 • 1 年前 • 目录导航撤销（Ctrl+Z）重做（Ctrl+Y）清空 H 标题（Ctrl+1~6）一级标题二级标题三级标题四级标题五级标题六级标题插入提示提示注意警告详细信息粗体（Ctrl+B）斜体（Ctrl+I）删除线插入引用（Ctrl+Q）无序列表（Ctrl+U）有序列表（Ctrl+O）表格插入分割线插入链接（Ctrl+L）插入图片添加图片链接插入代码块关闭同步滚动全屏（按ESC还原）开启预览 @<a href="/member/Rorysky">Rorysky</a> <br>composer go pip 那些还好。<br>npm 就很不省心,镜像了,但又没完全镜像。 <br>之前下载公司项目,cnpm 和换源总是网络超时。<br>后面直接 npm set proxy,就没操过这种心了。 @<a href="/member/Rorysky">Rorysky</a> <br>composer go pip 那些还好。<br>npm 就很不省心,镜像了,但又没完全镜像。 <br>之前下载公司项目,cnpm 和换源总是网络超时。<br>后面直接 npm set proxy,就没操过这种心了。 @Rorysky composer go pip 那些还好。 npm 就很不省心,镜像了,但又没完全镜像。之前下载公司项目,cnpm 和换源总是网络超时。后面直接 npm set proxy,就没操过这种心了。

20 / 页

总数 33

MD-FORUM

淘宝 NPM 源竟然会篡改包的下载版本