npm CLI 中 `--provenance` 参数与访问权限的注意事项

在 npm CLI 工具的使用过程中，当开发者尝试使用 --provenance 参数发布新包时，可能会遇到一个看似矛盾的现象：尽管文档说明新包的默认访问权限是 public，但实际发布时仍需显式指定该参数。

现象描述

当执行 npm publish --provenance 命令发布新包时，系统会返回错误提示："Can't generate provenance for new or private package, you must set access to public"。这与 npm 文档中关于 --access 参数的说明似乎存在矛盾，文档明确指出新包的默认访问级别就是 public。

深入解析

作用域包与非作用域包的区别

npm 包分为两种类型：作用域包（scoped packages）和非作用域包（unscoped packages）。对于非作用域包，默认访问权限确实是 public，无需额外指定。但对于作用域包，默认访问权限则是 private，这是 npm 的安全设计考量。

来源证明的特殊要求

当使用 --provenance 参数时，npm 对包的可访问性有更严格的要求。无论包是否为作用域包，首次发布时都必须显式指定 --access public 参数。这是为了确保来源证明功能能够正常工作，因为该功能需要确保包对公众可见。

实际应用建议

1. 首次发布作用域包：必须使用 npm publish --access public --provenance
2. 首次发布非作用域包：虽然默认是 public，但为保险起见建议同样显式指定
3. 后续发布：无需再指定 access 参数，系统会记住之前的设置

文档说明的澄清

当前 npm 文档关于默认值的描述需要更精确的说明：

• 对于普通发布：非作用域包默认为 public，作用域包默认为 private
• 对于来源证明发布：无论包类型如何，首次发布都必须显式指定 public

最佳实践

为避免发布失败，建议开发者在 CI/CD 流程中始终显式指定访问级别，特别是当使用自动化工具发布新包时。这样可以确保无论包类型如何，发布过程都能顺利完成。

对于使用自动化构建平台等自动化流程的场景，建议在发布命令中明确包含 --access public 参数，即使对于非作用域包也是如此，这样可以提高流程的可靠性和可维护性。