npm发布了企业版扩展包，首次使开发者们直接集成第三方工具成为可能。

npm企业版的总经理Ben Coe告诉InfoQ：

思考：一个安全厂商的绿色选择框证实代码是安全的；一个许可证审核工具提醒一个包的依赖基于GPL；一个CI工具监听着依赖的更新并警告什么应该中断……

在npm的博客文章《为npm企业版引入扩展包》中，Coe说npm企业版会公布一个让第三方开发者能够直接在npm企业版产品上编译的API。

为了解释这背后的驱动因素，Coe说扩展包有“能力将你的开发工作流中分离的部分整合进一个独立的用户体验中，并除去了较大型企业没办法使用开源开发的‘许多小型复用部分’方法论的障碍”。

一个典型的Node.js应用使用上百个依赖：这太多了以至于不能很容易地跟踪它们。当大部分依赖都是通过另外的包的间接依赖时，就变得更具挑战性了。

Coe将审查“外来代码的每个部分”的许可证需求比作安全性研究，他说：“试图手工确认每个依赖的许可证（以及依赖的依赖和依赖的依赖的依赖）是不可估量的。”

这个安全性风险与使用开源代码的企业相联系起来，意味着如果一个包有安全漏洞，那应用就可能变得暴露，如果漏洞是恶意的，那应用可能会受到损害。

在博客文章《npm灾难暴露了严重的安全风险》中，Nicolás Bevacqua说：“尽管绝大多数npm用户都是善意的。这就是为什么语义化的版本控制（semver）通常都行得通。通常我们可以信任包的作者，但有时就不一定了。”

Node安全平台是npm的合作伙伴，它以给审核过的模块提供安全信息而著名，它在一篇博客文章中公布了他们针对npm企业版的安全扩展包。

NSP的建立者Adam Baldwin说：

多年来，我们的nsp工具已成为Node依赖中的关键漏洞情报源。

今天开始，nsp的安全漏洞通知将在npm企业版内部方便地发布。

nsp扩展包在模块详细信息页的侧边栏中给开发者们提供了安全信息，包括模块存在已知漏洞的详细信息，并提供了更详细安全报告的链接。

Baldwin承诺，为企业级客户即将上市的还有已验证模块的公开信息，这是由Node安全团队所审核的。

根据npm所说，每个人都行动起来，能从为企业带来开源代码、工作流和工具的活动中获利。

“当公司用与社区构建开源项目相同的方式开发专利代码时，开源社区的方法和工具就会变成构建软件的默认方式。”Coe说道。

查看英文原文：npm Releases Enterprise Add-ons for Security, Licensing