目錄

搜尋並選擇要下載的套件

目錄

你可以使用 npm 搜尋欄位在你的專案中尋找要使用的套件。npm 搜尋使用 npms 和 npms 分析器;有關兩者的更多資訊,請參閱 https://npms.io/about

搜尋套件

  1. 在搜尋欄位中,輸入搜尋字詞並按下 Enter。當你輸入時,會出現可能的選擇。

    Screenshot of a search text box Screenshot of the search text box and search results

  2. 若要列出根據 套件搜尋排名準則 排名的套件,請在左側邊欄中「排序套件」下方,按一下準則。例如,若要根據熱門程度排序套件,請按一下「熱門程度」。

  3. 在套件搜尋結果清單中,按一下套件名稱。

套件搜尋排名準則

通常,有數十個甚至數百個名稱和/或用途相似的套件。為了幫助你決定要探索哪一個,每個套件都已根據四個準則使用 npms 分析器進行排名

熱門程度

熱門程度表示已下載套件的次數。這是其他人發現有用的套件的有力指標。

品質

品質包括 README 檔案的存在、穩定性、測試、最新的相依性、自訂網站和程式碼複雜度等考量因素。

維護

維護根據開發人員給予的關注程度對套件進行排名。例如,維護更頻繁的套件更有可能與 npm CLI 的目前或即將推出的版本搭配使用。

最佳

最佳將其他三個準則(熱門程度、品質、維護)有意義地結合為一個分數。

套件來源

當套件已隨來源發布時,你可以

  • 驗證套件發布的位置和方式。
  • 驗證授權使用者已發布套件。

你可以使用這些資訊來稽核套件,並決定是否要使用它們。如需有關 npm 來源的詳細資訊,請參閱「關於 npm 來源」。

查看 npm 登錄檔中套件的來源資訊

  1. 在 npm 登錄檔中,導覽至套件。

  2. 在套件的頁面上,在 README 右側的版本欄位中,尋找綠色勾號。如果有綠色勾號,表示套件已發布來源。

    Screenshot showing a Version field with a green check mark

  3. 按一下勾號,然後按一下查看更多詳細資料

  4. 查看套件的下列資訊

    • 建置環境:用於建置套件的環境。
    • 建置摘要:連結到建置套件的工作流程執行。
    • 來源提交:連結到建置套件的提交。
    • 建置檔案:連結到用於建置套件的工作流程檔案。
    • 公開分類帳:連結到證明授權使用者已發布套件的透明記錄條目。
    Screenshot showing npm provenance information for a published package

注意:每當你在 npmjs.com 上存取套件的來源資訊時,npm 會檢查連結的來源提交和儲存庫。如果找不到連結的來源提交或儲存庫,錯誤訊息會顯示在頁面頂端和來源資訊旁邊。這是為了通知你,此套件的來源已無法建立,這可能發生在儲存庫被刪除或設為私人時。

Screenshot showing a warning when the provenance source commit or repository cannot be found.

驗證來源證明

從登錄檔下載套件時,你可以使用下列 CLI 命令驗證套件的來源

npm audit signatures

此命令會檢查登錄檔簽章和來源證明。如果套件缺少或具有無效簽章或證明,它會傳回錯誤。這可能表示套件已被竄改。

注意:為了執行稽核命令以驗證套件來源,你必須

  • 安裝 npm CLI 版本 v9.5.0 或更新版本:npm install -g npm@latest
  • 使用 npm installnpm ci 安裝相依性
在 GitHub 上編輯此頁面
5 貢獻者mountainashlukekarrysSiaraMistfeelepxyzethomson
mountainash 最後編輯於2023 年 10 月 23 日