## NPM 向分阶段发布过渡及安全问题 NPM 最近过渡到“可信发布”，要求发布者通过 CI 系统（如 GitHub Actions）进行身份验证，取消了对长期 API 令牌的支持。这项旨在提高安全性的改变，在开发者社区引发了争论。 支持者认为这是加强供应链安全迈出的重要一步，但同时也存在一些局限性，例如：受限的 CI 提供商支持、最初无法发布新包以及缺乏强制双因素身份验证。一些人认为 NPM 激进地移除传统的 API 凭据，不必要地使推广过程复杂化。 一个关键的争议点是潜在的供应商锁定，GitHub 可能会成为主导力量。另一些人担心这种方法过度信任 CI 系统，并且核心问题不是证明，而是生态系统中大量不可信的包。 提出的解决方案包括更严格的依赖性审计、将开发整合到更大、管理更完善的包中，以及回归基于发行版的包管理——尽管后者本身也有安全记录。 最终，这场讨论凸显了安全性、便利性和 JavaScript 包管理的开放、去中心化特性之间的紧张关系。