npm 安装来源 flags 新增：依赖安全先收紧非 registry 来源

这篇解决什么

依赖不一定来自 registry，也可能来自 Git、远程 tarball、本地文件或目录。来源策略缺失时，异常依赖更容易混进安装链路。

适合谁

适合 Node.js 服务、前端团队、内部脚手架维护者和安全审计人员。

操作步骤

1. 扫描 package.json、lockfile 和 .npmrc 中的非 registry 来源
2. 为每个来源记录业务理由和维护人
3. 在 CI 中先把 allow-file、allow-remote、allow-directory 设为 none 做试跑
4. 把合法例外写进仓库说明
5. 对临时本地包建立正式发布或 workspace 替代方案
6. 把异常来源检查接入 PR

可复制模板

依赖名：
来源类型：git / file / remote / directory
业务理由：
维护人：
允许策略：
替代方案：
CI 结果：

验收清单

• 非 registry 来源已盘点
• 允许理由可追溯
• CI 严格策略已跑
• 例外已记录
• PR 检查覆盖

常见错误

• 只收藏产品更新，没有把它改成当天能执行的工作卡。
• 只看发布标题，没有确认账号权限、适用版本、成本和数据边界。
• 把 AI 自动化结果直接当结论，没有保留人工复核和失败恢复动作。
• 外部链接散落在聊天记录里，后续复查时找不到来源和日期。

30 分钟小样本

先选一个真实但低风险的任务。前 5 分钟写清输入材料和目标产物；中间 15 分钟按本文步骤执行一次；最后 10 分钟记录输出、人工修改量、失败点和下一次复用条件。小样本通过后，再扩展到团队模板或固定 SOP。

复用方式

第一次执行时，把它当成个人操作卡；第二次执行时，把成功步骤整理成团队模板；第三次执行时，再判断是否值得升级成固定 SOP、工具页或培训材料。每次复查都要看官方页面是否改版、权限或价格是否变化、原来的示例是否还能跑通。

资料依据

• GitHub Changelog / Staged publishing and new install-time controls for npm / 2026-05-22

标签