Warum sagt der Validator mein Package-Name sei ungueltig, obwohl npm ihn akzeptiert hat?

**npm hat heute lockerere Regeln als frueher**, aber der Validator folgt den **strikten Regeln aus der Doku**. Ein gueltiger npm-Package-Name: - ist **maximal 214 Zeichen** - enthaelt nur **Kleinbuchstaben, Ziffern, Bindestriche, Unterstriche und Punkte** - **startet nicht mit Punkt oder Unterstrich** - **enthaelt keine Spaces oder Grossbuchstaben** - optional **Scope-Praefix** (`@firma/package`) Alte Packages auf npm brechen manchmal diese Regeln (vor Validierung registriert). Fuer ein **neues Package** hilft der Validator, Probleme zu vermeiden: manche Tools (Verdaccio, Private Registries, GitHub Packages) sind strenger als die Haupt-npm-Registry.

Was bedeutet "Version muss SemVer sein"?

**SemVer (Semantic Versioning)** ist das Standard-Format **`MAJOR.MINOR.PATCH`**: - **MAJOR** (z.B. `2.x.x`), aendern bei **Breaking Change** der oeffentlichen API - **MINOR** (z.B. `1.4.x`), neue Funktionalitaet, abwaertskompatibel - **PATCH** (z.B. `1.0.7`), Bugfix ohne neue Features Gueltig: `1.0.0`, `2.5.3`, `0.0.1`, `3.0.0-beta.2`, `1.0.0+build.5`. **Ungueltig**: `1.0` (fehlendes PATCH), `v1.0.0` (mit `v`), `latest`, `*`. npm verlangt SemVer fuer **jedes publishte Package**, der Validator prueft die gleiche Regex wie `semver.valid()`.

Warum ist Mischen von `^`, `~` und exakten Versionen ein Problem?

**Kein Fehler**, aber ein **Warnsignal**. Jedes Praefix bedeutet was anderes: - **`"react": "^18.2.0"`**, npm installiert **irgendein 18.x.x**, neuestes Minor/Patch - **`"react": "~18.2.0"`**, npm installiert **irgendein 18.2.x**, neuestes Patch - **`"react": "18.2.0"`**, npm installiert **exakt 18.2.0** **Mischen ist Problem**, weil: - **Unvorhersagbarkeit**, verschiedene Packages verhalten sich bei `npm update` anders - **schwer im Code-Review**, der Leser weiss nicht, ob `^` Absicht war - **Regression-Debugging schwer** nach Update **Meist waehlst du einen Stil**: ganzes Projekt auf `^` (npm-Default und die meisten Libraries) oder ganzes Projekt mit exakten Pins (Renovate/Dependabot managen Updates).

Warum sind `"latest"` oder `"*"` schlechte Idee?

**Weil sie reproduzierbare Builds brechen.** `"react": "*"` heisst "irgendeine Version". Heute kriegst du **18.2.0**, morgen vielleicht **19.0.0** mit Breaking Changes, **und du erfaehrst es um 3 Uhr nachts von der Production-Seite**. `"latest"` ist das Gleiche anders geschrieben. **Das Lock-File hilft**, aber: 1) wenn jemand node_modules und Lock-File loescht, kriegst du nicht, was du erwartest; 2) auf einem anderen Dev-Rechner kann das erste `npm install` eine andere Version ziehen. **Der Validator markiert das rot**, muss vor Publish/Merge gefixt werden.

Was sind Peer-Dependencies und warum sucht der Validator nach fehlenden?

**Peer Dependencies** sind Packages, von denen deine Library **annimmt, der User hat sie schon installiert**. Klassisches Beispiel: du schreibst ein **React-Plugin**: ```json "peerDependencies": { "react": ">=18" } ``` **Deine Library installiert React nicht selbst**, sie erwartet, dass das Host-Projekt es hat. **Aber**: nutzt du React in Tests oder im Dev-Modus, **musst du es auch in `devDependencies` listen**, sonst funktioniert `npm install` in deinem Repo nicht. Der Validator erkennt das: **peer da, dev fehlt**, dann in devDeps adden. Blockt kein Publish, rettet aber deine CI-Builds.

Was zeigt der Scripts-Graph, was die rohe Datei nicht zeigt?

**Die Aufruf-Kette.** In rohem JSON siehst du: ```json "scripts": { "release": "npm run build && npm publish", "build": "npm run clean && tsc", "clean": "rimraf dist", "test": "vitest" } ``` Eine **flache Liste**. Der Validator parst jedes Script, findet **`npm run X`, `pnpm X`, `yarn X`** drin und zeichnet: - **`release`** -> ruft `build` - **`build`** -> ruft `clean` - **`clean`** -> standalone - **`test`** -> standalone Du siehst den ganzen **Execution-Baum**: was bei `npm run release` passiert. Goldwert bei Projekten mit **30+ Scripts**.

Warum ist das "license"-Feld so wichtig?

**Ohne Lizenz ist dein Package juristisch unbenutzbar.** Fuer viele Firmen heisst **keine Lizenz = All Rights Reserved per Default**, ein Mitarbeiter **darf das Package** in einem kommerziellen Projekt **nicht nutzen**. **Haeufige Werte**: - **MIT**, am breitesten akzeptiert, sehr permissiv - **Apache-2.0**, aehnlich permissiv, plus Patent-Schutz - **ISC**, simplifiziertes MIT, npm-Default - **GPL-3.0**, Copyleft, erfordert Open-Source aller nutzenden Projekte **SPDX-Format**: nimm die Codes von [spdx.org/licenses](https://spdx.org/licenses), nicht "MIT License", einfach `"license": "MIT"`. npm und Compliance-Tools (FOSSA, Snyk) parsen nur SPDX.

Wofuer sind `main`, `module` und `types`?

Drei **Entry-Points** fuer verschiedene Konsumenten deines Packages: - **`main`**, klassischer **CommonJS**-Entry (`require('my-package')`). Zeigt auf `./dist/index.cjs`. - **`module`**, der **ESM**-Entry (`import x from 'my-package'`). Zeigt auf `./dist/index.mjs`. - **`types`**, die Datei mit **TypeScript-Deklarationen** (`./dist/index.d.ts`). **Moderne Packages** fuegen ein **`exports`**-Feld dazu, das alle drei ersetzt und **Conditional Exports** erlaubt (anderer Code fuer Node.js vs. Browser, Dev vs. Production). Der Validator zeigt, welche du hast, und markiert offensichtliche Tippfehler wie `./dis/index.js`.

Warum ist "private": true manchmal lebensrettend?

**Weil es vor unbeabsichtigtem Publish zu npm schuetzt.** Klassisch: du arbeitest an einem **internen Firmenprojekt** mit `acme-internal-tools`. Irgendein Dev (oder CI) macht `npm publish`. **Die ganze Welt erfaehrt von deinem internen Package**, plus du verlierst den Namen. `"private": true` in `package.json` **blockt `npm publish`** komplett. Nutz es **immer** in: - **Monorepo-Workspaces** (Root-`package.json` meist privat) - **Applications** (keine Libraries, z.B. deine Next.js-App) - **Privaten Firmenprojekten** Der Validator behandelt fehlendes `private` nicht als Fehler, aber sieht er `"private": true`, versteht er den Kontext und **noergelt nicht ueber fehlende Lizenz oder Beschreibung**.

package.json-Validator - kostenlos

package.json

Füge den Inhalt deiner package.json-Datei ein.

{
  "name": "awesome-toolkit",
  "version": "1.4.2",
  "description": "A friendly toolkit for building delightful CLIs.",
  "type": "module",
  "main": "./dist/index.cjs",
  "module": "./dist/index.mjs",
  "types": "./dist/index.d.ts",
  "license": "MIT",
  "author": "Jane Developer <jane@example.com>",
  "homepage": "https://github.com/example/awesome-toolkit",
  "repository": {
    "type": "git",
    "url": "https://github.com/example/awesome-toolkit.git"
  },
  "scripts": {
    "build": "npm run clean && tsc",
    "clean": "rimraf dist",
    "test": "vitest",
    "lint": "eslint .",
    "release": "npm run build && npm publish",
    "prepare": "npm run build"
  },
  "dependencies": {
    "chalk": "^5.3.0",
    "commander": "^11.1.0",
    "typescript": "^5.4.0",
    "zod": "^3.22.4"
  },
  "devDependencies": {
    "@types/node": "^20.11.0",
    "eslint": "^8.56.0",
    "rimraf": "^5.0.5",
    "typescript": "^5.4.0",
    "vitest": "^1.2.0"
  },
  "peerDependencies": {
    "react": ">=18"
  }
}

1,010 Zeichen · 41 Zeilen

Status

Sieht gut aus

Metadaten

Wichtige Felder aus dem Package.

Paketname

awesome-toolkit

Version

1.4.2

Beschreibung

A friendly toolkit for building delightful CLIs.

Modul-Typ

ES Modules

Einstiegspunkt (main)

./dist/index.cjs

ESM-Einstieg (module)

./dist/index.mjs

TypeScript-Types-Datei

./dist/index.d.ts

Lizenz

MIT

Autor

Jane Developer <jane@example.com>

Homepage

https://github.com/example/awesome-toolkit

Repository

https://github.com/example/awesome-toolkit.git

Privates Paket

Nein

Pflichtfelder

name und version sind beim Veröffentlichen erforderlich.

Paketnamevorhanden

Jedes Paket braucht einen eindeutigen Namen - er identifiziert das Paket auf npm und in Imports.

Versionvorhanden

Eine Semver-Version (z. B. 1.2.3) ist Pflicht; npm verweigert ohne sie das Veröffentlichen.

Beschreibungvorhanden

Eine kurze Beschreibung hilft Leuten, dein Paket auf npm zu finden, und erscheint auf der Paketseite.

Lizenzvorhanden

Ohne Lizenz weiß niemand, ob er deinen Code rechtlich nutzen darf - MIT oder Apache-2.0 sind gängige Wahl.

Repositoryvorhanden

Ein Repository-Link macht es leicht, Bugs zu melden und den Quellcode deines Pakets einzusehen.

Scriptsvorhanden

Scripts (build, test, dev usw.) dokumentieren, wie das Projekt zu betreiben ist - ohne sie stecken neue Mitwirkende fest.

Scripts

Befehle, die im scripts-Feld definiert sind.

build

npm run clean && tsc

→ ruft auf:clean

← aufgerufen von:releaseprepare

clean

rimraf dist

← aufgerufen von:build

testeigenständig

vitest

linteigenständig

eslint .

release

npm run build && npm publish

→ ruft auf:build

prepare

npm run build

→ ruft auf:build

Abhängigkeiten

Paket-Anzahl pro Bucket.

dependencies

devDependencies

Peer-Abhängigkeiten (peerDependencies)

Optionale Abhängigkeiten (optionalDependencies)

Semver-Range-Aufschlüsselung

Probleme und Tipps

Duplizierte Abhängigkeit
typescript erscheint sowohl in dependencies als auch devDependencies - halte es nur in einer Sektion.
Fehlende Peer-Dependency
react wird als Peer benötigt, ist aber nicht in deinen dependencies - hinzufügen oder die Warnung bewusst akzeptieren.

Was steckt wirklich in deiner package.json? Pruef vor dem Shippen

Deine `package.json` landet gleich in npm. Oder in CI. Oder in einem Monorepo, das seit zwei Jahren keiner aufgeraeumt hat. Frage: ist die Datei eigentlich okay? Ist der Name gueltig, die Version sauberes SemVer, hast du dasselbe Package in `dependencies` UND `devDependencies`, wird `"react": "*"` beim naechsten npm install knallen.

Paste die ganze Datei in die Textarea. Der Validator macht vier Dinge:

prueft, ob es ueberhaupt gueltiges JSON ist (haeufigster Bug: Trailing Comma);
validiert das npm-Schema: Name matcht Registry-Regeln, Version ist SemVer, Root ist Objekt;
zeichnet einen Graph deiner Scripts: welches Script ruft welches (z.B. `build` ruft `clean` und `compile`), du siehst sofort, was bei `npm run release` passiert;
prueft Dependencies: Duplikate zwischen deps und devDeps, Wildcards (`"*"`, `"latest"`), gemischte Styles (`^` vs. `~` vs. exact), fehlende peers.

Alles lokal im Browser. Nichts verlaesst die Seite, du kannst sicher die Firma-`package.json` pasten, niemand sieht Dependency-Namen, Private-Registry-Pfade oder Script-Namen.

So nutzt du das Tool

Ganze `package.json` pasten in die Textarea oben. Zum Anschauen klick Beispiel laden, der Validator zeigt ein Sample mit absichtlichem Problem.

Die "Gueltigkeit"-Karte zeigt das Ergebnis sofort gruen oder rot. Gruen = JSON parst und npm-Schema okay. Rot = klick die Fehlerliste fuer Details.

Die "Metadaten"-Karte zeigt Name, Version, Modul-Typ (ESM oder CommonJS), Lizenz, Repo lesbar.

Die "Scripts"-Karte zeichnet den Graph: welches Script ruft welches. Du siehst `build` -> `clean` + `compile` -> `tsc`. Goldwert bei einem geerbten Projekt mit 30 Scripts.

Die "Dependencies"-Karte zaehlt Packages in vier Sections (deps/devDeps/peerDeps/optional) und listet erkannte Probleme: Duplikate, Wildcards, fehlende peers, gemischte Version-Styles.

Die "Pflichtfelder"-Karte ist eine gruene oder gelbe Checklist: name, version, description, license, scripts, repository. Du weisst sofort, was fehlt, bevor das Package zu npm kann.

Klick Format, wenn du eine einzeilige `package.json` gepastet hast und sauberes Output zum Zuruecknehmen brauchst.

Wann das nuetzlich ist

Fuenf Situationen, in denen der Validator eine Stunde CI-Debugging spart:

Vor dem ersten `npm publish`. Ein Package geht zum ersten Mal zu npm. Der Validator prueft, ob der Name gueltig ist (falsche Zeichen = Registry lehnt ab), ob die Version SemVer ist, ob du eine Lizenz hast. Ohne das merkst du es erst beim Fehlschlag.
Code-Review auf einem Monorepo-PR. Jemand hat ein Package hinzugefuegt. Du pastest die `package.json` in den Validator und siehst sofort **`"react": "*"` in deps**. Du kommentierst den PR, bevor was mergt, das beim naechsten Update bricht.
Audit eines zu erbenden Projekts. Du uebernimmst ein Legacy-Projekt mit 47 Scripts, die sich gegenseitig rufen. Der Validator zeichnet den Graph, du siehst `release` ruft `build`, das ruft `compile`, das ruft `tsc`. Eine Karte statt 47 Zeilen lesen.
Rausfinden, warum CI bei `npm ci` fehlschlaegt. Der CI-Build geht nicht. Du pastest die `package.json` und siehst: `package-x` ist in deps UND devDeps, das Lock-File ist verwirrt, `npm ci` waehlt verschiedene Versionen. Der Validator zeigt das als rotes Issue.
Migration von npm zu pnpm oder yarn. Vor der Migration pastest du beide `package.json`-Dateien (alt und neu) und pruefst, ob Peer-Dependencies konsistent sind, ob Wildcards weg sind (pnpm ist strenger), und ob Scripts einen sinnvollen Graph bilden.

Fragen und Antworten

Nein. Alle Validierung laeuft im Browser. Die Datei verlaesst den Rechner nicht, es gibt keine API. Du kannst sicher eine Firma-`package.json` mit privaten Package-Namen, internen Registry-Pfaden oder Script-Namen wie `deploy-staging` pasten. Der Validator funktioniert 100% offline nach dem ersten Laden.

Was steckt wirklich in deiner package.json? Pruef vor dem Shippen

Paste die ganze Datei in die Textarea. Der Validator macht vier Dinge:

prueft, ob es ueberhaupt gueltiges JSON ist (haeufigster Bug: Trailing Comma);
validiert das npm-Schema: Name matcht Registry-Regeln, Version ist SemVer, Root ist Objekt;
zeichnet einen Graph deiner Scripts: welches Script ruft welches (z.B. `build` ruft `clean` und `compile`), du siehst sofort, was bei `npm run release` passiert;
prueft Dependencies: Duplikate zwischen deps und devDeps, Wildcards (`"*"`, `"latest"`), gemischte Styles (`^` vs. `~` vs. exact), fehlende peers.

Alles lokal im Browser. Nichts verlaesst die Seite, du kannst sicher die Firma-`package.json` pasten, niemand sieht Dependency-Namen, Private-Registry-Pfade oder Script-Namen.

So nutzt du das Tool

Ganze `package.json` pasten in die Textarea oben. Zum Anschauen klick Beispiel laden, der Validator zeigt ein Sample mit absichtlichem Problem.

Die "Gueltigkeit"-Karte zeigt das Ergebnis sofort gruen oder rot. Gruen = JSON parst und npm-Schema okay. Rot = klick die Fehlerliste fuer Details.

Die "Metadaten"-Karte zeigt Name, Version, Modul-Typ (ESM oder CommonJS), Lizenz, Repo lesbar.

Die "Scripts"-Karte zeichnet den Graph: welches Script ruft welches. Du siehst `build` -> `clean` + `compile` -> `tsc`. Goldwert bei einem geerbten Projekt mit 30 Scripts.

Die "Dependencies"-Karte zaehlt Packages in vier Sections (deps/devDeps/peerDeps/optional) und listet erkannte Probleme: Duplikate, Wildcards, fehlende peers, gemischte Version-Styles.

Die "Pflichtfelder"-Karte ist eine gruene oder gelbe Checklist: name, version, description, license, scripts, repository. Du weisst sofort, was fehlt, bevor das Package zu npm kann.

Klick Format, wenn du eine einzeilige `package.json` gepastet hast und sauberes Output zum Zuruecknehmen brauchst.

Wann das nuetzlich ist

Fuenf Situationen, in denen der Validator eine Stunde CI-Debugging spart:

Vor dem ersten `npm publish`. Ein Package geht zum ersten Mal zu npm. Der Validator prueft, ob der Name gueltig ist (falsche Zeichen = Registry lehnt ab), ob die Version SemVer ist, ob du eine Lizenz hast. Ohne das merkst du es erst beim Fehlschlag.
Code-Review auf einem Monorepo-PR. Jemand hat ein Package hinzugefuegt. Du pastest die `package.json` in den Validator und siehst sofort **`"react": "*"` in deps**. Du kommentierst den PR, bevor was mergt, das beim naechsten Update bricht.
Audit eines zu erbenden Projekts. Du uebernimmst ein Legacy-Projekt mit 47 Scripts, die sich gegenseitig rufen. Der Validator zeichnet den Graph, du siehst `release` ruft `build`, das ruft `compile`, das ruft `tsc`. Eine Karte statt 47 Zeilen lesen.
Rausfinden, warum CI bei `npm ci` fehlschlaegt. Der CI-Build geht nicht. Du pastest die `package.json` und siehst: `package-x` ist in deps UND devDeps, das Lock-File ist verwirrt, `npm ci` waehlt verschiedene Versionen. Der Validator zeigt das als rotes Issue.
Migration von npm zu pnpm oder yarn. Vor der Migration pastest du beide `package.json`-Dateien (alt und neu) und pruefst, ob Peer-Dependencies konsistent sind, ob Wildcards weg sind (pnpm ist strenger), und ob Scripts einen sinnvollen Graph bilden.

Fragen und Antworten

package.json-Validator

Was steckt wirklich in deiner package.json? Pruef vor dem Shippen

So nutzt du das Tool

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

JWT Decoder

UUID-Generator

package.json-Validator

Was steckt wirklich in deiner package.json? Pruef vor dem Shippen

So nutzt du das Tool

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

JWT Decoder

UUID-Generator