tl; dr:如果需要修补未维护的npm软件包,是否有社区准则,该怎么做?
更多详细信息:
我们需要分派一个有效但未维护的任务(4年没有基于npm的PR,基于npm的NodeJS软件包,因为它的依赖关系已经过时并导致漏洞警告。
我们现在要使该分叉可用。我们最初的想法只是将'2'作为名称扩展名并重新发布,例如'somepackage2',尽管这可能最终会污染npm库,因此我们正在寻找是否有一种方法可以简单地替换当前版本?
我们试图与当前作者保持联系,但是如果我们无法与该人联系,那么在这种情况下有什么社区准则可做些什么?
答案 0 :(得分:1)
我做了一些狩猎工作,此页面似乎概述了该怎么做:https://docs.npmjs.com/misc/disputes.html
tl; dr部分指出:
- 获取具有npm所有者ls的作者电子邮件
- 给作者发送电子邮件,CC support@npmjs.com
- 几周后,如果没有解决方案,我们将对其进行解决。不要蹲在包裹名称上。
发布代码或退出。
因此,从本质上来说,请与他们联系,如果原始作者没有响应或没有帮助,则有可能用前叉代替该包装。无效的项目无法永远保留名称。