机械之心报道

介入：思、张倩、Jamin

刚刚，全球最大的代（tong）码（xing）托（jiao）管（you）平台 GitHub 公布公告称，该公司已经签署了一份收购 npm 的协议，后者是深受开发者迎接的 JavaScript 包治理服务平台。收购完成后，npm 公共注册表用户可以继续免费使用，付费用户可以在不久之后将私有 npm 包迁移到 GitHub Package。

npm 的全称是 Node Package Manager，是一个基于 Node.js 的包治理器，建立初衷是让 JavaScript 开发职员能够更容易地分享和重用代码。

凭着 npm 团队在已往 10 年的事情，以及成千上万的开源开发职员和维护职员的孝敬，该平台现在拥有 130 万个软件包，每月下载量达 750 亿次。他们的起劲使得 JavaScript 成为世界上最大的开发者生态系统。

GitHub 在博文中示意，「GitHub 很幸运介入誊写 npm 故事的下一篇章。我们将辅助 npm 继续扩展以知足快速增长的 JavaScript 社区的需求。」对于天天使用 npm 公共包治理器的数百万开发职员而言，开源包将一直可用且始终免费。

为什么 npm 云云主要？

对于众多开发者而言，npm 并不生疏。纵然我们常用 Python 或 C 等其它语言，但在执行某些 JS 开源项目时，也会遇到 npm。若是我们熟悉 JavaScript，那么 npm 几乎是不可或缺的软件包治理工具。可以说，npm 就类似于 Python 中的 pip。

维护与建立这一包治理器的公司，就是 npm 了。由于 npm 托管的超大代码库与软件注册表，JS 开发者可以借鉴开源软件包，而不需要重新构建应用程序。

若是我们想建立一个开源软件包，那么通常的做法是：将代码上传到 GitHub，并实时维护它。同时，将稳定版的代码也上传到 npm 上，从而利便开发者安装与治理。两者实现了差别的功效，GitHub 卖力追踪代码修正与版本的迭代，而 NPM 卖力治理整个安装包。

JS 是最大的开发者社区之一，而 npm 是世界上最大的软件注册表，在「下载包、安装包、上传包」这一流程中，npm 是开发生态不可或缺的一环。开发者不需要头疼软件包的种种依赖项与版本信息，都交给它就行了。

一般来说，npm 由注册表、命令行工具等几个自力的模块组成。注册表是一个伟大的数据库，保留了每个软件包的信息；命令行工具则允许开发者通过终端与 npm 举行交互。有了这几个模块，治理开源包、分享代码、治理私有软件包、治理依赖信息等等都不成问题。

npm 与 pip 实在异常像，只不过一个用于 JS，一个用于 Python。两者安装方式稍微有一点差别，npm 会把软件包安装在当前目录的 node_modules 下，pip 会把软件包安装在当前 Python 开发环境的 site-packages 中。换而言之，npm 不会对环境举行修改，似乎它加倍「无污染」？

npm 这个工具确实异常好用，NPM 公司在 2015 年也获得 800 万风投资金，它与 GitHub 一样对开源包免费，而对托管的私有代码包收费。其优势在于，企业用户可以通过相同的工具治理开源包与私有包。

现在，GitHub 收购了 npm，那么它们之间会不会有一定的整合呢？究竟去年 GitHub 还特意推出了免费软件包治理服务 GitHub Package Registry。

收购之后走向何方？

对于用户来说，人人最体贴的固然是收购对自己的影响。对此，GitHub CEO Nat Friedman 在官方博客中示意，对于天天使用公共 npm 注册表（registry）的数百万开发者，npm 将一直可用，而且始终免费。收购完成之后的事情重点将放在以下几个方面：

投资托管服务器基础设置和平台。JavaScript 生态异常重大，而且还在迅速扩张，因此需要一个坚实的注册系统。GitHub 将举行需要的投资，确保 npm 快速、可靠、可扩展。

提升焦点体验。GitHub 将致力于提升开发者和维护者的一样平常体验，同时继续支持 npm v7 CLI 上已经开展的主要项目，而且这些仍将是免费、开源的。激动人心的新特征包罗 Workspaces 以及在包公布流程、多因素身份验证体验上的进一步改善。

介入社区活动。他们将积极地与 JavaScript 社区互助，从中获得优异的改善方案，以此来打造更好的 npm。

GitHub 示意，他们将和 npm 一起起劲，提升开源软件供应链的安全性。此外，GitHub 还设计将其打赏功效（GitHub Sponsors）扩展到 npm 的生态中。

对于付费使用 npm Pro、Teams、Enterprise 的私人注册表用户，GitHub 和 npm 也将继续支持。此外，GitHub 正鼎力投资 GitHub Package，这是一个完全集成了 GitHub 的多语言包治理器。今年晚些时候，GitHub 将允许 npm 的付费用户将他们的私有 npm 包迁移到 GitHub Package，使得 npm 专注成为一个开放、免费的 JavaScript 软件包治理工具。

为了听取人人的意见，GitHub 还示意将于近几日在 reddit 上举行一场 AMA（Ask Me Anything）。

网友谈论

针对此次收购，网友们的看法褒贬不一，但单从谈论来看，支持此次收购的照样占大多数。

有网友示意，现阶段的 npm 处在较为尴尬的阶段。从公司谋划的角度来说，npm 的显示并不是稀奇值得称赞。但相比于被 Amazon、Google 或是 Facebook 收购，被 Github 收购还算上策，至少可以保留些自力性。

而 npm 作为软件供应链中的主要支柱环节，其焦点作用无须赘述，但背后公司的谋划状态值得深究。有网友示意，该公司的大部分资金来源于风投，其商业模式的壁垒远没想象的那么高。

有人甚至针对 NPM 的谋划状态举行了简朴的头脑模拟，以解释为何看好此次收购。公司运营需要资金，以现在 npm 公司的模式，想要维持运营只能吸纳越来越多的投资者，而投资者的逐利性会反向影响公司之后的生长门路，资金的不确定性会导致各个利益相关方之间的冲突。云云看来，这样的生长历程可能对整个社区都不是好事，更别说保有自力性。

不看好的也有，好比单纯的以为 Github 的东家微软是一家具有较强封闭性的公司，收购之后难以保持原有中立且高效的生长速度。

固然，对于此次收购褒贬不一，是好是坏势需要交给时间去验证。

参考链接：

https://github.blog/2020-03-16-npm-is-joining-github/

https://news.ycombinator.com/item?id=22594549

首期「AI 开发者发展设计」由机械之心团结微众银行开设《联邦学习 FATE 入门与应用实战》公开课，并特邀互助伙伴 VMware 带来为期 4 周共 6 期课程，设置主题解说、项目实操、在线答疑等环节，辅助 AI 开发者从零入门联邦学习。公开课第三课将于 3 月 17 日开讲，迎接人人报名介入。