npm發布了企業版擴展包，首次使開發者們直接集成第三方工具成為可能。

npm企業版的總經理Ben Coe告訴InfoQ：

思考：一個安全廠商的綠色選擇框證實代碼是安全的；一個許可證審核工具提醒一個包的依賴基于GPL；一個CI工具監聽著依賴的更新并警告什么應該中斷……

在npm的博客文章《為npm企業版引入擴展包》中，Coe說npm企業版會公布一個讓第三方開發者能夠直接在npm企業版產品上編譯的API。

為了解釋這背后的驅動因素，Coe說擴展包有“能力將你的開發工作流中分離的部分整合進一個獨立的用戶體驗中，并除去了較大型企業沒辦法使用開源開發的‘許多小型復用部分’方法論的障礙”。

一個典型的Node.js應用使用上百個依賴：這太多了以至于不能很容易地跟蹤它們。當大部分依賴都是通過另外的包的間接依賴時，就變得更具挑戰性了。

Coe將審查“外來代碼的每個部分”的許可證需求比作安全性研究，他說：“試圖手工確認每個依賴的許可證（以及依賴的依賴和依賴的依賴的依賴）是不可估量的。”

這個安全性風險與使用開源代碼的企業相聯系起來，意味著如果一個包有安全漏洞，那應用就可能變得暴露，如果漏洞是惡意的，那應用可能會受到損害。

在博客文章《npm災難暴露了嚴重的安全風險》中，Nicolás Bevacqua說：“盡管絕大多數npm用戶都是善意的。這就是為什么語義化的版本控制（semver）通常都行得通。通常我們可以信任包的作者，但有時就不一定了。”

Node安全平臺是npm的合作伙伴，它以給審核過的模塊提供安全信息而著名，它在一篇博客文章中公布了他們針對npm企業版的安全擴展包。

NSP的建立者Adam Baldwin說：

多年來，我們的nsp工具已成為Node依賴中的關鍵漏洞情報源。

今天開始，nsp的安全漏洞通知將在npm企業版內部方便地發布。

nsp擴展包在模塊詳細信息頁的側邊欄中給開發者們提供了安全信息，包括模塊存在已知漏洞的詳細信息，并提供了更詳細安全報告的鏈接。

Baldwin承諾，為企業級客戶即將上市的還有已驗證模塊的公開信息，這是由Node安全團隊所審核的。

根據npm所說，每個人都行動起來，能從為企業帶來開源代碼、工作流和工具的活動中獲利。

“當公司用與社區構建開源項目相同的方式開發專利代碼時，開源社區的方法和工具就會變成構建軟件的默認方式。”Coe說道。

查看英文原文：npm Releases Enterprise Add-ons for Security, Licensing