¿Por qué el validador dice que mi nombre de paquete es inválido si npm lo aceptó?

**npm tiene hoy reglas más laxas** que antes, pero el validador sigue las **reglas estrictas de la documentación**. Un nombre de paquete npm válido: - tiene **como mucho 214 caracteres** - contiene solo **letras minúsculas, dígitos, guiones, guiones bajos y puntos** - **no empieza por un punto o guion bajo** - **no contiene espacios ni mayúsculas** - opcionalmente empieza por un **scope** (`@empresa/paquete`) Paquetes antiguos en npm a veces incumplen estas reglas (se registraron antes de que existiera validación). Para un **paquete nuevo** el validador te ayuda a evitar problemas futuros: algunas herramientas (Verdaccio, registries privados, GitHub Packages) son más estrictas que el registry principal de npm.

¿Qué significa que la versión deba ser SemVer?

**SemVer (Semantic Versioning)** es el formato estándar **`MAJOR.MINOR.PATCH`**: - **MAJOR** (p. ej. `2.x.x`): lo cambias cuando rompes la **API pública** (breaking change) - **MINOR** (p. ej. `1.4.x`): añades funcionalidad de forma retrocompatible - **PATCH** (p. ej. `1.0.7`): corriges un bug sin añadir funciones Válido: `1.0.0`, `2.5.3`, `0.0.1`, `3.0.0-beta.2`, `1.0.0+build.5`. **Inválido**: `1.0` (falta PATCH), `v1.0.0` (con la letra `v`), `latest`, `*`. npm exige SemVer para **cada paquete publicado**; el validador usa la misma regex que `semver.valid()`.

¿Por qué mezclar `^`, `~` y versiones exactas es un problema?

**No es un error**, pero es una **señal de aviso**. Cada prefijo significa algo distinto: - **`"react": "^18.2.0"`**: npm instala **cualquier 18.x.x**, últimas minor/patch - **`"react": "~18.2.0"`**: npm instala **cualquier 18.2.x**, solo últimas patch - **`"react": "18.2.0"`**: npm instala **exactamente 18.2.0**, nada más **Mezclar es problema** porque: - **imprevisibilidad**: distintos paquetes del mismo proyecto se comportan distinto en `npm update` - **code review difícil**: el lector no sabe si el autor puso `^` a propósito o tecleó cualquier cosa - **debugging de regresiones**: cuando algo se rompe tras una actualización, no sabes si fue `^` o `~` **Normalmente eliges un estilo**: todo el proyecto en `^` (el predeterminado de npm y la mayoría de librerías) o todo en pins exactos (con Renovate / Dependabot gestionando actualizaciones).

¿Por qué `"latest"` o `"*"` son mala idea?

**Porque rompen los builds reproducibles.** `"react": "*"` significa "cualquier versión de React en npm". Hoy te llega **18.2.0**, mañana puede llegarte **19.0.0** con cambios incompatibles **y te enteras desde un pager a las 3 de la madrugada**. `"latest"` es exactamente lo mismo escrito distinto. **El lock-file (`package-lock.json`) ayuda**, pero: 1) si alguien borra node_modules y el lock-file a la vez, no obtendrás lo esperado; 2) en otra máquina, el primer `npm install` puede traer otra versión. **El validador lo marca en rojo**; trátalo como obligatorio antes de publicar o mergear.

¿Qué son las "peer dependencies" y por qué el validador busca las que faltan?

Las **peer dependencies** son paquetes que tu librería **asume que el usuario ya tiene instalados**. Ejemplo típico: escribes un **plugin de React** y declaras: ```json "peerDependencies": { "react": ">=18" } ``` **Tu librería no instala React**; espera que el proyecto host lo tenga. **Pero**: si usas React en tests o en modo dev, **también tienes que listarlo en `devDependencies`** o `npm install` en tu propio repo no funcionará. El validador detecta este caso: **el peer está, el dev falta**: añádelo a devDeps. No bloquea la publicación, pero salva tus builds de CI.

¿Qué muestra el grafo de scripts que no muestra el archivo crudo?

**La cadena de llamadas.** En JSON crudo ves: ```json "scripts": { "release": "npm run build && npm publish", "build": "npm run clean && tsc", "clean": "rimraf dist", "test": "vitest" } ``` Es una **lista plana**. El validador analiza cada script, encuentra **`npm run X`, `pnpm X`, `yarn X`** dentro y dibuja: - **`release`** → llama a `build` - **`build`** → llama a `clean` - **`clean`** → independiente (ejecuta `rimraf`) - **`test`** → independiente Ves el **árbol de ejecución** entero: qué pasa cuando ejecutas `npm run release`. Impagable en proyectos con **más de 30 scripts** donde nadie recuerda qué depende de qué.

¿Por qué es tan importante el campo "license"?

**Sin licencia, tu paquete es legalmente inutilizable.** Para muchas empresas, **sin licencia = All Rights Reserved por defecto**, es decir, un empleado **no puede usar el paquete** en un proyecto comercial. Es un motivo real por el que un paquete con un millón de descargas puede quedarse fuera frente a uno menos popular con una **MIT** clara. **Valores más comunes**: - **MIT**: la más aceptada, muy permisiva, funciona en todas partes - **Apache-2.0**: similar de permisiva, añade protección de patentes - **ISC**: MIT simplificada, la predeterminada en npm - **GPL-3.0**: copyleft, exige abrir el código de cualquier proyecto que la use **Formato SPDX**: usa los códigos de [spdx.org/licenses](https://spdx.org/licenses), no "MIT License", simplemente `"license": "MIT"`. npm y las herramientas de compliance (FOSSA, Snyk) solo parsean códigos SPDX.

¿Para qué sirven `main`, `module` y `types`?

Tres **entry points** distintos para distintos consumidores de tu paquete: - **`main`**: la entrada clásica **CommonJS** (`require('mi-paquete')`). Apunta a `./dist/index.cjs` o `./dist/index.js`. - **`module`**: la entrada **ESM** (`import x from 'mi-paquete'`). Apunta a `./dist/index.mjs` o `./dist/index.esm.js`. - **`types`**: el archivo con **declaraciones TypeScript** (`./dist/index.d.ts`). **Los paquetes modernos** añaden además un campo **`exports`** que sustituye a los tres y permite **exports condicionales** (código distinto para Node.js vs navegador, dev vs producción). El validador muestra cuál de estos tienes y marca rutas obviamente con erratas como `./dis/index.js` (no podemos comprobar el sistema de archivos, pero avisamos en los casos obvios).

¿Por qué a veces "private": true es un salvavidas?

**Porque te salva de publicar accidentalmente en npm.** Historia clásica: trabajas en un **proyecto interno de empresa** con el nombre `acme-internal-tools` en el archivo. Un dev (o CI) ejecuta `npm publish`. **El mundo entero descubre tu paquete interno**, y encima pierdes el nombre en el registry público. `"private": true` en `package.json` **bloquea `npm publish`** por completo: npm rechaza con un error. Úsalo **siempre** en: - **workspaces de monorepo** (el `package.json` raíz suele ser privado) - **aplicaciones** (no librerías, p. ej. tu app Next.js) - **proyectos privados de empresa** El validador no trata "private" ausente como error, pero al ver `"private": true` entiende el contexto y **deja de quejarse por una licencia o descripción que falten** (no publicas, no las necesitas).

Validador de package.json - gratis

package.json

Pega el contenido de tu archivo package.json.

{
  "name": "awesome-toolkit",
  "version": "1.4.2",
  "description": "A friendly toolkit for building delightful CLIs.",
  "type": "module",
  "main": "./dist/index.cjs",
  "module": "./dist/index.mjs",
  "types": "./dist/index.d.ts",
  "license": "MIT",
  "author": "Jane Developer <jane@example.com>",
  "homepage": "https://github.com/example/awesome-toolkit",
  "repository": {
    "type": "git",
    "url": "https://github.com/example/awesome-toolkit.git"
  },
  "scripts": {
    "build": "npm run clean && tsc",
    "clean": "rimraf dist",
    "test": "vitest",
    "lint": "eslint .",
    "release": "npm run build && npm publish",
    "prepare": "npm run build"
  },
  "dependencies": {
    "chalk": "^5.3.0",
    "commander": "^11.1.0",
    "typescript": "^5.4.0",
    "zod": "^3.22.4"
  },
  "devDependencies": {
    "@types/node": "^20.11.0",
    "eslint": "^8.56.0",
    "rimraf": "^5.0.5",
    "typescript": "^5.4.0",
    "vitest": "^1.2.0"
  },
  "peerDependencies": {
    "react": ">=18"
  }
}

1,010 caracteres · 41 líneas

Estado

Tiene buena pinta

Metadatos

Campos clave del paquete.

Nombre del paquete

awesome-toolkit

Versión

1.4.2

Descripción

A friendly toolkit for building delightful CLIs.

Tipo de módulo

Módulos ES

Punto de entrada (main)

./dist/index.cjs

Entrada ESM (module)

./dist/index.mjs

Archivo de tipos TypeScript

./dist/index.d.ts

Licencia

MIT

Autor

Jane Developer <jane@example.com>

Homepage

https://github.com/example/awesome-toolkit

Repositorio

https://github.com/example/awesome-toolkit.git

Paquete privado

Campos obligatorios

name y version son obligatorios al publicar.

Nombre del paquetepresente

Cada paquete necesita un nombre único: identifica el paquete en npm y en los imports.

Versiónpresente

Una versión semver (p. ej. 1.2.3) es obligatoria; npm no publicará sin ella.

Descripciónpresente

Una descripción corta ayuda a que la gente encuentre tu paquete en npm y aparece en la página del paquete.

Licenciapresente

Sin licencia nadie sabe si puede usar tu código legalmente: MIT o Apache-2.0 son opciones comunes.

Repositoriopresente

Un enlace al repositorio facilita reportar bugs e inspeccionar el código fuente de tu paquete.

Scriptspresente

Los scripts (build, test, dev, etc.) documentan cómo ejecutar el proyecto: sin ellos los nuevos colaboradores se atascan.

Scripts

Comandos definidos en el campo scripts.

build

npm run clean && tsc

→ llama a:clean

← llamado por:releaseprepare

clean

rimraf dist

← llamado por:build

testindependiente

vitest

lintindependiente

eslint .

release

npm run build && npm publish

→ llama a:build

prepare

npm run build

→ llama a:build

Dependencias

Recuento de paquetes por bucket.

dependencies

devDependencies

peerDependencies

optionalDependencies

Desglose de rangos semver

Problemas y consejos

Dependencia duplicada
typescript aparece en dependencies y devDependencies: déjalo solo en una sección.
Falta peer dependency
react se requiere como peer pero no está en tus dependencies: añádelo o acepta la advertencia conscientemente.

¿Qué hay realmente en tu package.json? Compruébalo antes de publicar

Tu `package.json` está a punto de aterrizar en npm. O en CI. O ser pegado en un monorepo que nadie ha limpiado en dos años. La pregunta: ¿el archivo está realmente bien?. ¿El nombre es válido? ¿La versión es SemVer correcta? ¿Tienes el mismo paquete en `dependencies` y `devDependencies`? ¿Volará `"react": "*"` la próxima vez que alguien ejecute npm install?

Pegas el archivo completo en el textarea. El validador hace cuatro cosas:

comprueba si es JSON válido siquiera (bug más común: coma sobrante tras el último campo);
valida el schema de npm: el nombre cumple las reglas del registry, la versión es SemVer, la raíz es un objeto;
dibuja un grafo de tus scripts: qué script llama a cuál (p. ej. `build` llama a `clean` y `compile`), así ves al instante qué pasa cuando ejecutas `npm run release`;
audita las dependencias: duplicados entre deps y devDeps, wildcards (`"*"`, `"latest"`), estilos mezclados (`^` vs `~` vs pins exactos), peers faltantes.

Todo se ejecuta localmente en tu navegador. Nada sale de la página, así que puedes pegar con seguridad el `package.json` de tu empresa: nadie fuera de tu ordenador ve los nombres de dependencias, rutas a registries privados o nombres de scripts.

Cómo se usa

Pega el `package.json` completo en el textarea grande de arriba. Si solo quieres ver cómo funciona, pulsa Cargar muestra y se carga un paquete de ejemplo con un problema dejado a propósito.

La tarjeta "Validez" muestra el resultado en verde o rojo al instante. Verde = el JSON parsea y el schema de npm se cumple. Rojo = revisa la lista de errores para ver qué arreglar.

La tarjeta "Metadatos" muestra el nombre, versión, tipo de módulo (ESM o CommonJS), licencia y repositorio en un layout legible en lugar de escanear el JSON crudo.

La tarjeta "Scripts" dibuja el grafo: qué script llama a cuál. Ves `build` → `clean` + `compile` → `tsc`. Impagable en un proyecto heredado con 30 scripts.

La tarjeta "Dependencias" cuenta paquetes en cuatro secciones (deps / devDeps / peerDeps / optional) y lista problemas detectados: duplicados, wildcards, peers faltantes, estilos de versión mezclados.

La tarjeta "Campos obligatorios" es una checklist verde o ámbar: nombre, versión, descripción, licencia, scripts, repositorio. Sabes al instante qué falta antes de publicar este paquete a npm.

Pulsa Formatear si pegaste un `package.json` en una sola línea y quieres una salida legible para copiar.

Cuándo te resulta útil

Cinco situaciones donde el validador te ahorra una hora de depurar CI:

Antes de tu primer `npm publish`. Un paquete va a npm por primera vez. El validador comprueba si el nombre es válido (caracteres prohibidos = el registry lo rechaza), si la versión es SemVer y si tienes licencia. Sin él te enteras al fallar el `npm publish`.
Code review en una PR de monorepo. Alguien añadió un paquete. Pegas su `package.json` en el validador y ves al instante **`"react": "*"` en deps**. Comentas en la PR antes de mergear algo que se romperá en la próxima actualización.
Auditoría de un proyecto que vas a heredar. Recibes un proyecto legado con 47 scripts llamándose entre sí. El validador dibuja el grafo y ves que `release` llama a `build`, que llama a `compile`, que llama a `tsc`. Un mapa en lugar de leer 47 líneas de arriba abajo.
Entender por qué falla `npm ci` en CI. El build de CI no pasa. Pegas `package.json` y ves: `package-x` está en deps y devDeps a la vez, el lock-file se confunde, `npm ci` elige versiones distintas. El validador lo marca en rojo.
Migrar de npm a pnpm o yarn. Antes de migrar pegas los dos `package.json` (el viejo y el nuevo) y compruebas si las peer dependencies son coherentes, si han desaparecido los wildcards (pnpm es menos indulgente) y si los scripts forman un grafo sensato.

Preguntas y respuestas

No. Toda la validación se ejecuta en tu navegador. El archivo no sale de tu ordenador, no hay API al otro lado. Puedes pegar con seguridad un `package.json` de empresa con nombres de paquetes privados, rutas a registries internos o nombres de scripts como `deploy-staging`. El validador funciona 100 % offline tras la primera carga; puedes incluso desconectar internet y seguirá funcionando.

¿Qué hay realmente en tu package.json? Compruébalo antes de publicar

Pegas el archivo completo en el textarea. El validador hace cuatro cosas:

comprueba si es JSON válido siquiera (bug más común: coma sobrante tras el último campo);
valida el schema de npm: el nombre cumple las reglas del registry, la versión es SemVer, la raíz es un objeto;
dibuja un grafo de tus scripts: qué script llama a cuál (p. ej. `build` llama a `clean` y `compile`), así ves al instante qué pasa cuando ejecutas `npm run release`;
audita las dependencias: duplicados entre deps y devDeps, wildcards (`"*"`, `"latest"`), estilos mezclados (`^` vs `~` vs pins exactos), peers faltantes.

Cómo se usa

Pega el `package.json` completo en el textarea grande de arriba. Si solo quieres ver cómo funciona, pulsa Cargar muestra y se carga un paquete de ejemplo con un problema dejado a propósito.

La tarjeta "Validez" muestra el resultado en verde o rojo al instante. Verde = el JSON parsea y el schema de npm se cumple. Rojo = revisa la lista de errores para ver qué arreglar.

La tarjeta "Metadatos" muestra el nombre, versión, tipo de módulo (ESM o CommonJS), licencia y repositorio en un layout legible en lugar de escanear el JSON crudo.

La tarjeta "Scripts" dibuja el grafo: qué script llama a cuál. Ves `build` → `clean` + `compile` → `tsc`. Impagable en un proyecto heredado con 30 scripts.

Pulsa Formatear si pegaste un `package.json` en una sola línea y quieres una salida legible para copiar.

Cuándo te resulta útil

Cinco situaciones donde el validador te ahorra una hora de depurar CI:

Antes de tu primer `npm publish`. Un paquete va a npm por primera vez. El validador comprueba si el nombre es válido (caracteres prohibidos = el registry lo rechaza), si la versión es SemVer y si tienes licencia. Sin él te enteras al fallar el `npm publish`.
Code review en una PR de monorepo. Alguien añadió un paquete. Pegas su `package.json` en el validador y ves al instante **`"react": "*"` en deps**. Comentas en la PR antes de mergear algo que se romperá en la próxima actualización.
Auditoría de un proyecto que vas a heredar. Recibes un proyecto legado con 47 scripts llamándose entre sí. El validador dibuja el grafo y ves que `release` llama a `build`, que llama a `compile`, que llama a `tsc`. Un mapa en lugar de leer 47 líneas de arriba abajo.
Entender por qué falla `npm ci` en CI. El build de CI no pasa. Pegas `package.json` y ves: `package-x` está en deps y devDeps a la vez, el lock-file se confunde, `npm ci` elige versiones distintas. El validador lo marca en rojo.
Migrar de npm a pnpm o yarn. Antes de migrar pegas los dos `package.json` (el viejo y el nuevo) y compruebas si las peer dependencies son coherentes, si han desaparecido los wildcards (pnpm es menos indulgente) y si los scripts forman un grafo sensato.

Preguntas y respuestas

Validador de package.json

¿Qué hay realmente en tu package.json? Compruébalo antes de publicar

Cómo se usa

Cuándo te resulta útil

Preguntas y respuestas

Herramientas relacionadas

Decodificador JWT

Generador de UUID

Validador de package.json

¿Qué hay realmente en tu package.json? Compruébalo antes de publicar

Cómo se usa

Cuándo te resulta útil

Preguntas y respuestas

Herramientas relacionadas

Decodificador JWT

Generador de UUID