Pourquoi le validateur dit-il que mon nom de paquet est invalide quand npm l'a accepté ?

**npm a aujourd'hui des règles plus lâches qu'avant**, mais le validateur suit les **règles strictes de la doc**. Un nom de paquet npm valide : - fait **au plus 214 caractères** - contient seulement **lettres minuscules, chiffres, tirets, underscores et points** - **ne commence pas par un point ou underscore** - **ne contient ni espaces ni majuscules** - commence optionnellement par un **scope** (`@company/package`) Les anciens paquets sur npm cassent parfois ces règles (ils ont été enregistrés avant que la validation existe). Pour un **nouveau paquet**, le validateur vous aide à éviter les problèmes futurs : certains outils (Verdaccio, registres privés, GitHub Packages) sont plus stricts que le registre npm principal.

Que signifie le fait que la version doive être SemVer ?

**SemVer (Semantic Versioning)** est le format standard **`MAJOR.MINOR.PATCH`** : - **MAJOR** (par ex. `2.x.x`) : changez-le quand vous cassez l'**API publique** (breaking change) - **MINOR** (par ex. `1.4.x`) : ajoutez des fonctionnalités de manière rétrocompatible - **PATCH** (par ex. `1.0.7`) : corrigez un bug sans ajouter de fonctionnalités Valide : `1.0.0`, `2.5.3`, `0.0.1`, `3.0.0-beta.2`, `1.0.0+build.5`. **Invalide** : `1.0` (PATCH manquant), `v1.0.0` (avec la lettre `v`), `latest`, `*`. npm exige SemVer pour **chaque paquet publié**, le validateur vérifie exactement la même regex que `semver.valid()`.

Pourquoi mélanger `^`, `~` et versions exactes est-il un problème ?

**Ce n'est pas une erreur**, mais c'est un **signal d'alerte**. Chacun de ces préfixes signifie quelque chose de différent : - **`"react": "^18.2.0"`** : npm installe **n'importe quelle 18.x.x**, dernière minor/patch - **`"react": "~18.2.0"`** : npm installe **n'importe quelle 18.2.x**, dernière patch uniquement - **`"react": "18.2.0"`** : npm installe **exactement 18.2.0**, rien d'autre **Mélanger est un problème** parce que : - **imprévisibilité** : différents paquets dans le même projet se comportent différemment sur `npm update` - **revue de code difficile** : le lecteur ne sait pas si l'auteur voulait `^` exprès ou a juste tapé quelque chose au hasard - **débogage de régression** : quand un paquet casse après une mise à jour, vous ne savez pas si c'était `^` ou `~` **Vous choisissez généralement un style** : tout le projet sur `^` (défaut npm et la plupart des bibliothèques) ou tout le projet en versions exactes (Renovate / Dependabot gère les mises à jour).

Pourquoi les versions `"latest"` ou `"*"` sont-elles une mauvaise idée ?

**Parce qu'elles cassent les builds reproductibles.** `"react": "*"` signifie "n'importe quelle version de React sur npm". Aujourd'hui vous obtenez **18.2.0**, demain vous pourriez obtenir **19.0.0** avec breaking changes, **et vous le découvrez via une page de production à 3h du matin**. `"latest"` est exactement la même chose écrit différemment. **Le lock-file (`package-lock.json`) aide**, mais : 1) si quelqu'un supprime node_modules et le lock-file ensemble, vous n'obtiendrez pas ce que vous attendez ; 2) sur une autre machine dev, le premier `npm install` peut tirer une version différente. **Le validateur signale ça en rouge**, traitez-le comme à corriger absolument avant de publier ou merger.

Que sont les "peer dependencies" et pourquoi le validateur chasse-t-il celles qui manquent ?

Les **peer dependencies** sont des paquets dont votre bibliothèque **suppose que l'utilisateur les a déjà installés**. Exemple le plus courant : vous écrivez un **plugin React**, donc vous déclarez : ```json "peerDependencies": { "react": ">=18" } ``` **Votre bibliothèque n'installe pas React elle-même**, elle s'attend à ce que le projet hôte l'ait déjà. **Mais** : si vous utilisez React dans les tests ou en mode dev, **vous devez aussi le lister dans `devDependencies`**, sinon `npm install` dans votre propre repo ne marchera pas. Le validateur détecte ce cas : **peer est là, dev manque**, ajoutez-le aux devDeps. Cela ne bloque pas la publication, mais ça sauve vos builds CI.

Que montre le graphe de scripts que le fichier brut ne montre pas ?

**La chaîne d'appels.** Dans le JSON brut, vous voyez : ```json "scripts": { "release": "npm run build && npm publish", "build": "npm run clean && tsc", "clean": "rimraf dist", "test": "vitest" } ``` C'est une **liste plate**. Le validateur parse chaque script, trouve **`npm run X`, `pnpm X`, `yarn X`** à l'intérieur, et dessine : - **`release`** → appelle `build` - **`build`** → appelle `clean` - **`clean`** → autonome (lance `rimraf`) - **`test`** → autonome Vous voyez tout l'**arbre d'exécution** : ce qui se passe quand vous lancez `npm run release`. C'est précieux sur des projets avec **30+ scripts** où personne ne se souvient de quoi dépend de quoi.

Pourquoi le champ "license" est-il si important ?

**Sans licence, votre paquet est légalement inutilisable.** Pour beaucoup d'entreprises, **pas de licence = tous droits réservés par défaut**, ce qui signifie qu'un employé **ne peut pas utiliser le paquet** dans un projet commercial. C'est une vraie raison pour laquelle un paquet avec un million de téléchargements pourrait être ignoré au profit d'un moins populaire avec un **MIT** clair. **Valeurs les plus courantes** : - **MIT** : la plus largement acceptée, très permissive, marche partout - **Apache-2.0** : similairement permissive, ajoute une protection brevets - **ISC** : MIT simplifié, utilisé par npm comme défaut - **GPL-3.0** : copyleft, exige d'ouvrir le code de tout projet l'utilisant **Format SPDX** : utilisez les codes de [spdx.org/licenses](https://spdx.org/licenses), pas "MIT License", juste `"license": "MIT"`. npm et les outils de conformité (FOSSA, Snyk) parsent uniquement les codes SPDX.

À quoi servent `main`, `module` et `types` ?

Trois **points d'entrée** différents pour différents consommateurs de votre paquet : - **`main`** : l'entrée classique **CommonJS** (`require('my-package')`). Pointe vers `./dist/index.cjs` ou `./dist/index.js`. - **`module`** : l'entrée **ESM** (`import x from 'my-package'`). Pointe vers `./dist/index.mjs` ou `./dist/index.esm.js`. - **`types`** : le fichier avec les **déclarations TypeScript** (`./dist/index.d.ts`). Les **paquets modernes** ajoutent aussi un champ **`exports`** qui remplace les trois et permet des **exports conditionnels** (code différent pour Node.js vs navigateur, dev vs production). Le validateur affiche lesquels de ces champs vous avez et signale les chemins clairement erronés comme `./dis/index.js` (nous ne pouvons pas vérifier le système de fichiers, mais nous avertissons sur les cas évidents).

Pourquoi "private": true est-il parfois un sauveteur ?

**Parce qu'il vous sauve d'une publication accidentelle sur npm.** Histoire classique : vous travaillez sur un **projet d'entreprise interne** avec le nom `acme-internal-tools` dans le fichier. Un dev (ou la CI) lance `npm publish`. **Le monde entier découvre votre paquet interne**, plus vous perdez le nom dans le registre public. `"private": true` dans `package.json` **bloque `npm publish`** complètement, npm refuse avec une erreur. Utilisez-le **toujours** dans : - **les workspaces de monorepo** (le `package.json` racine est généralement privé) - **les applications** (pas les bibliothèques, par ex. votre app Next.js) - **les projets d'entreprise privés** Le validateur ne traite pas un `private` manquant comme une erreur, mais quand il voit `"private": true`, il comprend le contexte et **arrête de se plaindre d'une licence ou d'une description manquante** (vous ne publiez pas, vous n'en avez donc pas besoin).

Validateur package.json - gratuit

package.json

Collez le contenu de votre fichier package.json.

{
  "name": "awesome-toolkit",
  "version": "1.4.2",
  "description": "A friendly toolkit for building delightful CLIs.",
  "type": "module",
  "main": "./dist/index.cjs",
  "module": "./dist/index.mjs",
  "types": "./dist/index.d.ts",
  "license": "MIT",
  "author": "Jane Developer <jane@example.com>",
  "homepage": "https://github.com/example/awesome-toolkit",
  "repository": {
    "type": "git",
    "url": "https://github.com/example/awesome-toolkit.git"
  },
  "scripts": {
    "build": "npm run clean && tsc",
    "clean": "rimraf dist",
    "test": "vitest",
    "lint": "eslint .",
    "release": "npm run build && npm publish",
    "prepare": "npm run build"
  },
  "dependencies": {
    "chalk": "^5.3.0",
    "commander": "^11.1.0",
    "typescript": "^5.4.0",
    "zod": "^3.22.4"
  },
  "devDependencies": {
    "@types/node": "^20.11.0",
    "eslint": "^8.56.0",
    "rimraf": "^5.0.5",
    "typescript": "^5.4.0",
    "vitest": "^1.2.0"
  },
  "peerDependencies": {
    "react": ">=18"
  }
}

1,010 chars · 41 lines

Status

Looks good

Metadata

Champs clés du package.

Package name

awesome-toolkit

Version

1.4.2

Description

A friendly toolkit for building delightful CLIs.

Module type

ES Modules

Point d'entrée (main)

./dist/index.cjs

Point d'entrée ESM (module)

./dist/index.mjs

Fichier de types TypeScript

./dist/index.d.ts

License

MIT

Author

Jane Developer <jane@example.com>

Homepage

https://github.com/example/awesome-toolkit

Repository

https://github.com/example/awesome-toolkit.git

Private package

Required fields

name et version sont obligatoires à la publication.

Package namepresent

Chaque package a besoin d'un nom unique — il identifie le package sur npm et dans les imports.

Versionpresent

Une version semver (ex : 1.2.3) est obligatoire ; npm refusera de publier sans.

Descriptionpresent

Une courte description aide à trouver votre package sur npm et s'affiche sur la page du package.

Licensepresent

Sans licence, personne ne sait s'il peut légalement utiliser votre code — MIT ou Apache-2.0 sont des choix courants.

Repositorypresent

Un lien vers le dépôt facilite le signalement de bugs et l'inspection des sources de votre package.

Scriptspresent

Les scripts (build, test, dev, etc.) documentent comment lancer le projet — sans eux, les nouveaux contributeurs sont bloqués.

Scripts

Commandes définies dans le champ scripts.

build

npm run clean && tsc

→ calls:clean

← called by:releaseprepare

clean

rimraf dist

← called by:build

teststandalone

vitest

lintstandalone

eslint .

release

npm run build && npm publish

→ calls:build

prepare

npm run build

→ calls:build

Dependencies

Compteurs de paquets par catégorie.

dependencies

devDependencies

peerDependencies

optionalDependencies

Décomposition des plages semver

Issues and tips

Dépendance en doublon
typescript apparaît dans dependencies et devDependencies — gardez-le dans une seule section.
Peer dependency manquante
react est requis comme peer mais n'est pas dans vos dependencies — ajoutez-le, ou acceptez l'avertissement intentionnellement.

Qu'y a-t-il vraiment dans votre package.json ? Vérifiez avant de livrer

Votre `package.json` est sur le point d'atterrir sur npm. Ou dans la CI. Ou d'être collé dans un monorepo que personne n'a nettoyé depuis deux ans. La question : est-ce que ce fichier est vraiment OK ? Le name est-il valide, la version conforme à SemVer, avez-vous le même paquet à la fois dans `dependencies` et `devDependencies`, est-ce que `"react": "*"` va exploser au prochain npm install.

Vous collez tout le fichier dans la textarea. Le validateur fait quatre choses :

vérifie si c'est du JSON valide tout court (bug le plus fréquent : virgule en trop après le dernier champ) ;
valide le schéma npm : name conforme aux règles du registre, version conforme à SemVer, racine est un objet ;
dessine un graphe de vos scripts : quel script appelle lequel (par ex. `build` appelle `clean` et `compile`), pour que vous voyiez immédiatement ce qui arrive quand vous lancez `npm run release` ;
audite les dépendances : doublons entre deps et devDeps, jokers (`"*"`, `"latest"`), styles mixtes (`^` vs `~` vs versions exactes), peers manquants.

Tout s'exécute localement dans votre navigateur. Rien ne quitte la page, vous pouvez donc coller en toute sécurité le `package.json` de votre entreprise, personne hors de votre ordinateur ne voit les noms de dépendances, chemins de registre privé ou noms de scripts.

Comment l'utiliser

Collez tout le `package.json` dans la grande textarea en haut. Si vous voulez juste voir comment ça marche, cliquez sur Load sample, le validateur chargera un exemple de paquet avec un problème intentionnellement laissé.

La carte "Validity" affiche le résultat en vert ou rouge tout de suite. Vert = le JSON parse et le schéma npm est satisfait. Rouge = cliquez à travers la liste d'erreurs pour voir les choses précises à corriger.

La carte "Metadata" affiche le name, version, type de module (ESM ou CommonJS), licence, repository dans une mise en page lisible au lieu que vous parcouriez le JSON brut.

La carte "Scripts" dessine le graphe : quel script appelle lequel. Vous voyez `build` → `clean` + `compile` → `tsc`. Précieux sur un projet hérité avec 30 scripts.

La carte "Dependencies" compte les paquets à travers quatre sections (deps / devDeps / peerDeps / optional) et liste les problèmes détectés : doublons, jokers, peers manquants, styles de version mixtes.

La carte "Required fields" est une checklist verte ou ambrée : name, version, description, license, scripts, repository. Vous savez immédiatement ce qui manque avant que ce paquet puisse être publié sur npm.

Cliquez sur Format si vous avez collé un `package.json` sur une seule ligne et voulez une sortie lisible à recopier.

Quand c'est utile

Cinq situations où le validateur vous économise une heure de débogage CI :

Avant votre premier `npm publish`. Un paquet va sur npm pour la première fois. Le validateur vérifie si le name est valide (mauvais caractères = le registre rejette), si la version est SemVer, et si vous avez une licence. Sans lui, vous découvrez ça seulement après `npm publish` quand la publication échoue.
Code review sur une pull request de monorepo. Quelqu'un a ajouté un paquet. Vous collez son `package.json` dans le validateur et voyez instantanément **`"react": "*"` dans deps**. Vous commentez la PR avant de merger quelque chose qui cassera à la prochaine mise à jour.
Audit d'un projet que vous allez hériter. Vous reprenez un projet legacy où 47 scripts s'appellent les uns les autres. Le validateur dessine le graphe, vous voyez que `release` appelle `build`, qui appelle `compile`, qui appelle `tsc`. Une carte routière au lieu de lire 47 lignes de haut en bas.
Comprendre pourquoi la CI échoue sur `npm ci`. Le build CI ne passe pas. Vous collez `package.json` et voyez : `package-x` est à la fois dans deps et devDeps, le lock-file s'embrouille, `npm ci` prend des versions différentes. Le validateur le fait remonter comme problème rouge.
Migrer de npm vers pnpm ou yarn. Avant la migration, vous collez les deux fichiers `package.json` (ancien et nouveau) et vérifiez si les peer dependencies sont cohérentes, si les jokers ont disparu (pnpm est moins indulgent), et si les scripts forment un graphe sensé.

Questions et réponses

Non. Toute la validation tourne dans votre navigateur. Le fichier ne quitte jamais votre ordinateur, il n'y a pas d'API de l'autre côté. Vous pouvez coller en toute sécurité un `package.json` d'entreprise avec des noms de paquets privés, des chemins de registre internes, ou des noms de scripts comme `deploy-staging`. Le validateur marche 100 % offline après le premier chargement de la page, vous pouvez même vous déconnecter d'internet et ça marchera encore.

Qu'y a-t-il vraiment dans votre package.json ? Vérifiez avant de livrer

Vous collez tout le fichier dans la textarea. Le validateur fait quatre choses :

vérifie si c'est du JSON valide tout court (bug le plus fréquent : virgule en trop après le dernier champ) ;
valide le schéma npm : name conforme aux règles du registre, version conforme à SemVer, racine est un objet ;
dessine un graphe de vos scripts : quel script appelle lequel (par ex. `build` appelle `clean` et `compile`), pour que vous voyiez immédiatement ce qui arrive quand vous lancez `npm run release` ;
audite les dépendances : doublons entre deps et devDeps, jokers (`"*"`, `"latest"`), styles mixtes (`^` vs `~` vs versions exactes), peers manquants.

Comment l'utiliser

La carte "Metadata" affiche le name, version, type de module (ESM ou CommonJS), licence, repository dans une mise en page lisible au lieu que vous parcouriez le JSON brut.

La carte "Scripts" dessine le graphe : quel script appelle lequel. Vous voyez `build` → `clean` + `compile` → `tsc`. Précieux sur un projet hérité avec 30 scripts.

Cliquez sur Format si vous avez collé un `package.json` sur une seule ligne et voulez une sortie lisible à recopier.

Quand c'est utile

Cinq situations où le validateur vous économise une heure de débogage CI :

Avant votre premier `npm publish`. Un paquet va sur npm pour la première fois. Le validateur vérifie si le name est valide (mauvais caractères = le registre rejette), si la version est SemVer, et si vous avez une licence. Sans lui, vous découvrez ça seulement après `npm publish` quand la publication échoue.
Code review sur une pull request de monorepo. Quelqu'un a ajouté un paquet. Vous collez son `package.json` dans le validateur et voyez instantanément **`"react": "*"` dans deps**. Vous commentez la PR avant de merger quelque chose qui cassera à la prochaine mise à jour.
Audit d'un projet que vous allez hériter. Vous reprenez un projet legacy où 47 scripts s'appellent les uns les autres. Le validateur dessine le graphe, vous voyez que `release` appelle `build`, qui appelle `compile`, qui appelle `tsc`. Une carte routière au lieu de lire 47 lignes de haut en bas.
Comprendre pourquoi la CI échoue sur `npm ci`. Le build CI ne passe pas. Vous collez `package.json` et voyez : `package-x` est à la fois dans deps et devDeps, le lock-file s'embrouille, `npm ci` prend des versions différentes. Le validateur le fait remonter comme problème rouge.
Migrer de npm vers pnpm ou yarn. Avant la migration, vous collez les deux fichiers `package.json` (ancien et nouveau) et vérifiez si les peer dependencies sont cohérentes, si les jokers ont disparu (pnpm est moins indulgent), et si les scripts forment un graphe sensé.

Questions et réponses

Validateur package.json

Qu'y a-t-il vraiment dans votre package.json ? Vérifiez avant de livrer

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Décodeur JWT

Générateur UUID

Validateur package.json

Qu'y a-t-il vraiment dans votre package.json ? Vérifiez avant de livrer

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Décodeur JWT

Générateur UUID