tl;dr:有没有关于在需要修补未维护的 npm 包时该怎么做的社区指南?
更多详情:
我们需要分叉一个工作但未维护的(4 年没有基于 PR、npm 的 NodeJS 包,因为它的依赖项已经过时并导致漏洞警告。
我们现在想让这个分叉可用。我们最初的想法只是简单地将"2"作为名称扩展名并重新发布,例如"somepackage2",尽管这可能最终会污染 npm 库,所以我们正在寻找是否有办法简单地替换当前版本?
我们正试图找到当前作者,但在我们无法联系到该人的情况下,是否有任何社区准则规定在这种情况下该怎么做?
我做了更多的狩猎,这个页面似乎概述了该怎么做:https://docs.npmjs.com/misc/disputes.html
tl;dr 部分指出:
- 获取带有 npm 所有者 ls 的作者电子邮件
- 向作者发送电子邮件,抄送 support@npmjs.com
- 几周后,如果没有解决方案,我们会解决它。不要蹲在包名称上。
发布代码或移开。
所以基本上联系他们,如果原作者没有回应或帮助,那么有可能用叉子替换包。死项目不能永远保留一个名字。