Projen项目npm包发布失败问题分析与解决方案

在Projen项目中，当开发者尝试初始化一个CDK构造库并发布到npm时，可能会遇到发布失败的问题。本文将深入分析该问题的原因，并提供完整的解决方案。

问题现象

开发者使用最新版Projen（0.80.12）初始化CDK构造库后，在执行"Publish to npm"任务时会遇到如下错误：

npm notice Publishing to https://registry.npmjs.org/ with tag latest and default access
npm ERR! code EUSAGE
npm ERR! Can't generate provenance for new or private package, you must set `access` to public.

问题根源分析

该问题的根本原因在于npm的provenance（来源证明）功能要求。npm在v8.15.0版本后引入了provenance功能，旨在为软件包提供更强的来源验证机制。当发布新包时，npm要求必须显式设置访问级别为public。

Projen在3378号提交中启用了provenance功能，但没有正确处理首次发布包时的访问级别设置。对于未限定作用域（unscoped）的包名，npm默认访问级别是public；而对于限定作用域（scoped）的包名，默认访问级别是restricted。这种差异导致了发布失败。

解决方案

临时解决方案

开发者可以通过在项目配置中禁用provenance功能来临时解决此问题：

const project = new awscdk.AwsCdkConstructLibrary({
  // ...其他配置
  npmProvenance: false,
});

永久解决方案

Projen项目团队已经修复了此问题。修复方案的核心是：

1. 正确设置NPM_ACCESS_LEVEL环境变量
2. 根据包名类型（限定作用域或非限定作用域）确定默认访问级别
3. 确保在package.json中正确配置访问级别

对于开发者来说，升级到包含修复的Projen版本即可解决此问题。

技术背景

npm的provenance功能是软件供应链安全的重要改进，它允许包发布者生成可验证的来源声明。这些声明可以证明包确实是从特定工作流和环境中构建和发布的，有助于提高软件供应链的透明度和安全性。

在实现上，Projen通过publib工具链处理npm发布流程。publib会根据NPM_ACCESS_LEVEL环境变量来决定如何配置包的访问级别。修复后的Projen会正确处理这一配置，确保新包能够顺利发布。

最佳实践

对于使用Projen管理项目的开发者，建议：

1. 保持Projen版本更新，以获取最新的修复和改进
2. 对于公开项目，明确设置访问级别为public
3. 理解npm的provenance功能及其对发布流程的影响
4. 在项目初始化时考虑包的命名方式（限定作用域或非限定作用域）

通过遵循这些实践，可以避免类似的发布问题，并充分利用现代包管理工具提供的安全特性。