Question

默认情况下，所有文件都是使用

从包目录中发布的

npm publish .

即使他们没有被Git跟踪。未跟踪文件可以是.gitignore或.npmignore未涵盖的随机临时文件，可能包含敏感数据。

有没有办法避免未经跟踪的文件被意外发布？

Answer 1

我认为您需要尝试publish-please替换：

正如它声称的那样，它会在发布到注册表之前进行大量验证。

检查工作树中是否没有未跟踪的文件。

Answer 2

不要从您的工作存储库发布。克隆一个干净的回购并从中发布。当您有新的开发时，只需使用git pull更新干净仓库并再次发布。 clean repo可以是Continuous Integration服务器上的repo，因此如果所有测试都通过CI服务器自动发布。