为什么 npm pip nuget 这些包管理器不在下载冷门包（下载数量 <300k）的时候弹出提示？经常弄错包名，不仅浪费了时间还很危险，长得像热门包的假包很多有恶意代码。

RT

先不说你这个需求是不是合理吧。假设真要实现的话，包管理器和仓库之间也不是强关联的。
基本上包管理器都支持自建私有仓库、镜像仓库等等非“官方”仓库，它也区分不出来哪个是所谓的官方。所以标注虚假包的这个活，需要由谁负责呢？
总不能说 npm 下载任何包的时候，都要去 npmjs 上面验一下吧。

@zoumouse #18 因为楼主这种单纯提醒下载量的建议对于恶意包来说如果有这种限制他们肯定会刷量，反而导致真正好用的冷门包没有量让人不敢下，相对来说没有建设性，就是促进内卷刷量。真正有用的解决方案，一是花钱人工审核让企业买单个人用户蹭着用，二是标准库做完善些，这两个方案大家心里都清楚，但都不是一句话两句话能搞定的。

@drymonfidelia 你的需求不是没有人做，但是社区不好做这个事情，但是私有源提供者倒是很乐意提供这样的解决方案，关键是需要付费，以 Python 为例， 例如 anaconda, 以及 activestate 都是在做这个生意——提供可信的依赖管理。这些都是企业服务了

唯一的办法就是审核呗

楼上为什么好多人在喷？楼主说的其实算是供应链投毒一种，确实常见、危险而且暂时没有解决方案，是个很值得讨论的问题。

@Bijiabo 再加一个工信部备案与公安备案

不会写代码可以不写的。真的，一个成人需要为自己的行为负责，而不是推给别人，让别人来喂你吃饭

确实，返回信息提供个包简介，官网和一些相近的包名，来个 2 次确认就行了。有的时候一下子记错了，直接安装了还是挺危险的

"我们 npm pip nuget 是需要管的"

这个还是靠社区自发跟随的黑名单提醒比较合理