感觉单纯下载量不是好指标。我建议根据名称进行搜索，如果存在下载量与当前包的比值大于一定程度的包，则要求用户再次确认。

谁来净化一下程序员圈子

这个还是靠社区自发跟随的黑名单提醒比较合理

"我们 npm pip nuget 是需要管的"

确实，返回信息提供个包简介，官网和一些相近的包名，来个 2 次确认就行了。有的时候一下子记错了，直接安装了还是挺危险的

不会写代码可以不写的。真的，一个成人需要为自己的行为负责，而不是推给别人，让别人来喂你吃饭

@Bijiabo 再加一个工信部备案与公安备案

楼上为什么好多人在喷？楼主说的其实算是供应链投毒一种，确实常见、危险而且暂时没有解决方案，是个很值得讨论的问题。

唯一的办法就是审核呗

@drymonfidelia 你的需求不是没有人做，但是社区不好做这个事情，但是私有源提供者倒是很乐意提供这样的解决方案，关键是需要付费，以 Python 为例， 例如 anaconda, 以及 activestate 都是在做这个生意——提供可信的依赖管理。这些都是企业服务了