前些天搞一个老项目的依赖包的时候yarn.lock更新了一下,出现了一个奇怪的东西
这个源的地址变成了registry.npmmirror.com
我去确认了一下自己的源没有问题,依然是熟悉的registry.npm.taobao.org
莫非是我的网络被劫持了?
网上关于这个的讨论并不多,其实是淘宝为了提供更稳定、更安全、更符合国家法律法规要求的镜像服务(说人话就是怕国家找茬所以要低调),将要更换淘宝npm源的服务器,并且老的域名npm.taobao.org 和 registry.npm.taobao.org 将不再使用
2022年5月31日0时,这两个老域名将会停止服务,截至目前,通过老域名安装npm包已经会被301到新域名 registry.npmmirror.com ,也就是我遇到的情况
阿里技术在文章中说
恳请有强依赖老域名的各位开发者尽快更新到新域名,企业用户可能还需要联系网管/IT/SRE 更新防火墙白名单。 当然如果你使用的是 cnpm 的 CLI 命令行工具,我们会去全部替换并发布新版本,大家只需要重新安装到最小版本即可。
可能受到的影响和处理方式
1.企业用户需要联系 网管/IT/SRE 更新防火墙白名单。
2.cnpm 自身的 CLI,我们会对每个大版本都发个 patch 去更新,开发者重新安装即可。
3.nrm 等工具,需要提 PR 去更新内置的域名。
4.一些开发者自己封装的工具,如 egg-init,需要维护者自行提 PR 去更新。
5.存量应用的 lock 文件,开发者需要自行执行 sed 等指令去替换或重新生成。
6.本地 npmrc 里面的 registry 地址,(如果有,则)需要开发者自行更新。
7.平台应用里面写死的,需开发者自己更新并部署。
其实这玩意影响不大,估计也就是开发的时候npm i报错?