Czemu walidator mówi, że nazwa paczki jest niepoprawna, skoro npm ją przyjął?

**npm ma teraz luźniejsze zasady niż kiedyś**, ale walidator stosuje się do **rygorystycznych zasad z dokumentacji**. Poprawna nazwa pakietu npm: - ma **najwyżej 214 znaków** - składa się tylko z **małych liter, cyfr, myślników, podkreślników i kropek** - **nie zaczyna się od kropki ani podkreślnika** - **nie zawiera spacji ani wielkich liter** - opcjonalnie ma prefiks **scope** (`@firma/paczka`) Stare paczki w npm potrafią łamać te zasady (były rejestrowane, zanim wprowadzono walidację). Dla **nowej paczki** walidator pomaga Ci uniknąć przyszłych problemów: niektóre narzędzia (Verdaccio, prywatne rejestry) są bardziej rygorystyczne niż główny npm.

Co to znaczy, że wersja musi być w SemVer?

**SemVer (Semantic Versioning)** to standardowy format **`MAJOR.MINOR.PATCH`**: - **MAJOR** (np. `2.x.x`), zmieniasz, gdy łamiesz **API** (breaking change) - **MINOR** (np. `1.4.x`), dodajesz funkcjonalność wstecznie kompatybilnie - **PATCH** (np. `1.0.7`), naprawiasz bug bez nowych funkcji Poprawne: `1.0.0`, `2.5.3`, `0.0.1`, `3.0.0-beta.2`, `1.0.0+build.5`. **Niepoprawne**: `1.0` (brak PATCH), `v1.0.0` (z literą `v`), `latest`, `*`. npm wymaga SemVer dla **wszystkich publikowanych paczek**, walidator sprawdza dokładnie ten sam regex co `semver.valid()`.

Czemu mieszanka `^`, `~` i wersji dokładnych to problem?

**Nie jest to błąd**, ale **sygnał ostrzegawczy**. Każdy z tych prefiksów ma inną semantykę: - **`"react": "^18.2.0"`**, npm zainstaluje **dowolną wersję 18.x.x**, najnowszą minor/patch - **`"react": "~18.2.0"`**, npm zainstaluje **dowolną 18.2.x**, tylko najnowszy patch - **`"react": "18.2.0"`**, npm zainstaluje **dokładnie 18.2.0**, nic innego **Mieszanka jest problemem**, bo: - **nieprzewidywalność**, różne paczki w tym samym projekcie zachowują się różnie przy `npm update` - **trudne code review**, czytający nie wie, czy ekspertyza autora wskazywała na `^`, czy ktoś po prostu wpisał na chybił trafił - **debugowanie regresji**, gdy jedna paczka się popsuła po update, nie wiesz, czy to przez `^` czy `~` **Zwykle wybiera się jedno**: cały projekt na `^` (npm i większość paczek) albo cały na dokładne (Renovate / Dependabot zarządza updatami).

Czemu `"latest"` albo `"*"` w wersji to zło?

**Bo zabija powtarzalność buildów.** `"react": "*"` oznacza „dowolna wersja React-a w npm". Dzisiaj zainstaluje się **18.2.0**, jutro może się zainstalować **19.0.0** z breaking changes, **a Ty się dowiesz po pingu w nocy z produkcji**. `"latest"` to dokładnie to samo, tylko zapisane inaczej. **Lock-file (`package-lock.json`) pomaga**, ale: 1) jeśli ktoś usunie node_modules i lock-file naraz, Ty wcale nie dostaniesz tego, czego oczekujesz; 2) na innym deweloperskim komputerze pierwsza `npm install` może wciągnąć inną wersję. **Walidator flaguje to na czerwono**, traktuj to jako must-fix przed publikacją albo merge.

Co to są „peer dependencies" i czemu walidator szuka brakujących?

**Peer dependencies** to paczki, które **Twoja biblioteka zakłada, że już ma użytkownik**. Najczęstszy przykład: piszesz **plugin do React-a**, więc deklarujesz: ```json "peerDependencies": { "react": ">=18" } ``` **Twoja biblioteka nie instaluje React-a sama**, oczekuje, że projekt-host już go ma. **Ale**: jeśli używasz React-a w testach albo w trybie deweloperskim, **musisz go mieć też w `devDependencies`**, inaczej `npm install` w Twoim repo nie zadziała. Walidator wykrywa ten przypadek: **peer jest, deva nie ma**, dodaj do devDeps. Nie blokuje to publikacji, ale uratuje Ci buildy CI.

Co graf skryptów pokazuje, czego nie widać w surowym pliku?

**Łańcuch wywołań**. W surowym JSON-ie widzisz: ```json "scripts": { "release": "npm run build && npm publish", "build": "npm run clean && tsc", "clean": "rimraf dist", "test": "vitest" } ``` To **plaska lista**. Walidator parsuje każdy skrypt, znajduje wewnątrz **`npm run X`, `pnpm X`, `yarn X`** i rysuje: - **`release`** → wywołuje `build` - **`build`** → wywołuje `clean` - **`clean`** → samodzielny (uruchamia `rimraf`) - **`test`** → samodzielny Widzisz cały **drzewko wykonania**: co się stanie po `npm run release`. To bezcenne w projektach z **30+ skryptami**, gdzie nikt nie pamięta, co od czego zależy.

Czemu pole „license" jest tak ważne?

**Bez licencji Twoja paczka jest prawnie nieużywalna.** Dla wielu firm **brak licencji = domyślnie All Rights Reserved**, czyli pracownik **nie może użyć paczki** w komercyjnym projekcie. To realny powód, dla którego paczka z miliona pobrań może być pominięta na korzyść mniej popularnej, ale z jasnym **MIT**. **Najczęstsze wartości**: - **MIT**, najszerzej akceptowana, bardzo permisywna, działa wszędzie - **Apache-2.0**, podobnie permisywna, dodaje ochronę patentową - **ISC**, uproszczona MIT, używa npm jako default - **GPL-3.0**, copyleft, wymaga otwarcia kodu projektu używającego **Format SPDX**: użyj kodów ze strony [spdx.org/licenses](https://spdx.org/licenses), nie „MIT License" tylko `"license": "MIT"`. npm i narzędzia compliance (FOSSA, Snyk) parsują tylko kody SPDX.

Po co mi pola `main`, `module` i `types`?

Trzy różne **punkty wejścia** dla różnych konsumentów Twojej paczki: - **`main`**, klasyczny punkt wejścia **CommonJS** (`require('moja-paczka')`). Wskazuje na `./dist/index.cjs` albo `./dist/index.js`. - **`module`**, punkt wejścia **ESM** (`import x from 'moja-paczka'`). Wskazuje na `./dist/index.mjs` albo `./dist/index.esm.js`. - **`types`**, plik z **definicjami TypeScript** (`./dist/index.d.ts`). **Nowoczesne paczki** dodają jeszcze pole **`exports`**, które zastępuje wszystkie trzy i pozwala na **conditional exports** (różny kod dla Node.js vs przeglądarka, dev vs production). Walidator pokazuje, które z tych pól masz, i flaguje, jeśli wskazują na nieistniejący plik (nie umiemy sprawdzić systemu plików, ale ostrzegamy o oczywistych literówkach typu `./dis/index.js`).

Czemu pole "private": true bywa zbawienne?

**Bo ratuje przed przypadkową publikacją na npm.** Klasyk: pracujesz na **wewnętrznym projekcie firmowym**, w pliku masz nazwę `acme-internal-tools`. Któryś dev (albo CI) robi `npm publish`. **Cały świat dowiaduje się o Twojej wewnętrznej paczce**, plus tracisz nazwę w rejestrze publicznym. `"private": true` w `package.json` **blokuje `npm publish`** całkowicie, npm odmawia z błędem. Używaj **zawsze** w: - **monorepo workspaces** (root `package.json` jest zwykle prywatny) - **aplikacjach** (nie biblioteki, np. Twoja appka Next.js) - **prywatnych projektach firmowych** Walidator nie traktuje braku `private` jako błędu, ale przy widocznym `"private": true` rozumie kontekst i **nie czepia się braku license albo description** (nie publikujesz, więc nie potrzeba).

Walidator package.json - darmowy

package.json

Wklej zawartość pliku package.json.

{
  "name": "awesome-toolkit",
  "version": "1.4.2",
  "description": "A friendly toolkit for building delightful CLIs.",
  "type": "module",
  "main": "./dist/index.cjs",
  "module": "./dist/index.mjs",
  "types": "./dist/index.d.ts",
  "license": "MIT",
  "author": "Jane Developer <jane@example.com>",
  "homepage": "https://github.com/example/awesome-toolkit",
  "repository": {
    "type": "git",
    "url": "https://github.com/example/awesome-toolkit.git"
  },
  "scripts": {
    "build": "npm run clean && tsc",
    "clean": "rimraf dist",
    "test": "vitest",
    "lint": "eslint .",
    "release": "npm run build && npm publish",
    "prepare": "npm run build"
  },
  "dependencies": {
    "chalk": "^5.3.0",
    "commander": "^11.1.0",
    "typescript": "^5.4.0",
    "zod": "^3.22.4"
  },
  "devDependencies": {
    "@types/node": "^20.11.0",
    "eslint": "^8.56.0",
    "rimraf": "^5.0.5",
    "typescript": "^5.4.0",
    "vitest": "^1.2.0"
  },
  "peerDependencies": {
    "react": ">=18"
  }
}

1010 znaków · 41 linii

Status

Plik wygląda poprawnie

Metadane

Najważniejsze pola pakietu.

Nazwa paczki

awesome-toolkit

Wersja

1.4.2

Opis

A friendly toolkit for building delightful CLIs.

Typ modułu

ES Modules

Plik wejściowy (main)

./dist/index.cjs

Wejście ESM (module)

./dist/index.mjs

Plik typów TypeScript

./dist/index.d.ts

Licencja

MIT

Autor

Jane Developer <jane@example.com>

Strona projektu

https://github.com/example/awesome-toolkit

Repozytorium

https://github.com/example/awesome-toolkit.git

Prywatna paczka

Nie

Wymagane pola

name i version są obowiązkowe dla publikowanych pakietów.

Nazwa paczkiobecne

Każda paczka musi mieć unikalną nazwę - to identyfikator w npm i w imporcie.

Wersjaobecne

Wersja w formacie semver (np. 1.2.3) - bez niej npm nie opublikuje paczki.

Opisobecne

Krótki opis pomaga znaleźć paczkę w wyszukiwarce npm i wyświetla się na karcie pakietu.

Licencjaobecne

Bez licencji nikt nie wie, czy może legalnie używać Twojego kodu - najczęściej wybiera się MIT lub Apache-2.0.

Repozytoriumobecne

Link do repozytorium ułatwia zgłaszanie błędów i sprawdzanie źródła paczki.

Skryptyobecne

Skrypty (np. build, test, dev) opisują jak uruchomić projekt - bez nich współpracownik nie wie od czego zacząć.

Skrypty

Komendy zdefiniowane w polu scripts.

build

npm run clean && tsc

→ wywołuje:clean

← wywoływany przez:releaseprepare

clean

rimraf dist

← wywoływany przez:build

testsamodzielny

vitest

lintsamodzielny

eslint .

release

npm run build && npm publish

→ wywołuje:build

prepare

npm run build

→ wywołuje:build

Zależności

Sumaryczne liczniki paczek.

dependencies

devDependencies

peerDependencies

optionalDependencies

Rozkład zakresów semver

Problemy i podpowiedzi

Duplikat zależności
typescript pojawia się jednocześnie w dependencies i devDependencies - zostaw paczkę w jednym miejscu.
Brakująca peer dependency
react jest wymagana jako peer, ale nie ma jej w Twoich dependencies - dodaj ją lub zaakceptuj ostrzeżenie świadomie.

Co siedzi w Twoim package.json? Sprawdź zanim wrzucisz na produkcję

Twój `package.json` zaraz wyląduje w npm. Albo w CI. Albo zostanie wklejony do monorepo, którego nikt nie sprzątał od dwóch lat. Pytanie: czy ten plik jest w porządku? Czy nazwa jest poprawna, wersja zgodna z SemVer, czy nie masz tej samej paczki w `dependencies` i `devDependencies`, czy `"react": "*"` nie wyleci Ci jutro przy npm install.

Wklejasz cały plik do okienka. Walidator robi cztery rzeczy:

sprawdza, czy to w ogóle poprawny JSON (najczęstszy błąd: przecinek po ostatnim polu);
weryfikuje schemę npm: nazwa pasuje do zasad rejestru, wersja jest w formacie SemVer, root jest obiektem;
rysuje graf skryptów: który skrypt wywołuje który (np. `build` woła `clean` i `compile`), żebyś od razu widział, co się stanie po `npm run release`;
audytuje zależności: duplikaty między deps i devDeps, gwiazdki (`"*"`, `"latest"`), mieszanka stylów (`^` vs `~` vs wersje dokładne), brakujące peer-y.

Wszystko lokalnie w przeglądarce. Nic nie wychodzi na serwer, więc spokojnie możesz wkleić `package.json` z firmowego projektu, nazwy zaleznosci, prywatnych rejestrów ani nazw skryptów nikt poza Tobą nie zobaczy.

Jak używać

Wklej cały `package.json` do dużego pola tekstowego na górze. Jeśli chcesz tylko zobaczyć, jak to działa, kliknij Wczytaj przykład, walidator załaduje przykładową paczkę z jednym celowo zostawionym problemem.

Karta „Poprawność" od razu pokazuje wynik na zielono albo czerwono. Zielono = JSON się parsuje i schema npm jest spełniona. Czerwono = klikasz w listę błędów i widzisz konkretne linie do poprawy.

Karta „Metadane" pokazuje nazwę, wersję, typ modułu (ESM albo CommonJS), licencję, repozytorium, w czytelnym formacie zamiast szukania po JSON-ie.

Karta „Skrypty" rysuje graf: który skrypt wywołuje który. Widzisz `build` → `clean` + `compile` → `tsc`. To bezcenne przy odziedziczonym projekcie z 30 skryptami.

Karta „Zależności" zlicza paczki w czterech sekcjach (deps / devDeps / peerDeps / optional) i pokazuje listę wykrytych problemów: duplikaty, gwiazdki, brakujące peer-y, mieszanka stylów wersji.

Karta „Pola wymagane" to zielony lub żółty checklist: name, version, description, license, scripts, repository. Wiesz od razu, czego brakuje, żeby paczkę dało się opublikować w npm.

Kliknij Sformatuj, jeśli wkleiłeś jednolinijkowy `package.json` i chcesz mieć czytelny output do skopiowania z powrotem.

Kiedy się przydaje

Pięć sytuacji, w których walidator oszczędza Ci godzinę debugowania CI:

Przed pierwszym `npm publish`. Paczka idzie do npm po raz pierwszy. Walidator sprawdza, czy nazwa jest poprawna (zła znaki w nazwie = rejestr odrzuca), czy wersja jest w SemVer i czy masz licencję. Bez tego dowiesz się dopiero po `npm publish`, gdy publikacja padnie z błędem.
Code review pull requesta z monorepo. Ktoś dodał paczkę. Wklejasz jej `package.json` do walidatora i od razu widzisz: **`"react": "*"` w deps**. Komentujesz w PR, zanim mergeujesz coś, co rozsypie się przy najbliższej aktualizacji.
Audyt cudzego projektu, który masz przejąć. Bierzesz legacy projekt, w którym 47 skryptów wywołuje się nawzajem. Walidator rysuje graf, widzisz, że `release` wywołuje `build`, ten `compile`, ten `tsc`. Mapa drogowa zamiast czytania 47 linii po kolei.
Sprawdzenie, czemu CI pada na `npm ci`. Build na CI nie chce przejść. Wklejasz `package.json` i widzisz: `pakiet-x` jest w deps i devDeps, lock-file gubi się, `npm ci` wybiera różne wersje. Walidator pokazuje to czerwoną kartą.
Migracja z npm na pnpm albo yarn. Przed migracją wklejasz oba `package.json` (stary i nowy), sprawdzasz, czy peer dependencies są spójne, czy nie ma gwiazdek (pnpm jest mniej tolerancyjne) i czy skrypty się układają w sensowny graf.

Pytania i odpowiedzi

Nie. Cała walidacja dzieje się w przeglądarce. Plik nigdy nie opuszcza Twojego komputera, nie ma żadnego API, do którego coś trafia. Możesz spokojnie wkleić firmowy `package.json` z prywatnymi nazwami pakietów, ścieżkami do wewnętrznych rejestrów, czy nazwami skryptów typu `deploy-staging`. Walidator działa w 100% offline po pierwszym załadowaniu strony, możesz nawet odłączyć internet i dalej będzie działać.

Co siedzi w Twoim package.json? Sprawdź zanim wrzucisz na produkcję

Wklejasz cały plik do okienka. Walidator robi cztery rzeczy:

sprawdza, czy to w ogóle poprawny JSON (najczęstszy błąd: przecinek po ostatnim polu);
weryfikuje schemę npm: nazwa pasuje do zasad rejestru, wersja jest w formacie SemVer, root jest obiektem;
rysuje graf skryptów: który skrypt wywołuje który (np. `build` woła `clean` i `compile`), żebyś od razu widział, co się stanie po `npm run release`;
audytuje zależności: duplikaty między deps i devDeps, gwiazdki (`"*"`, `"latest"`), mieszanka stylów (`^` vs `~` vs wersje dokładne), brakujące peer-y.

Jak używać

Karta „Metadane" pokazuje nazwę, wersję, typ modułu (ESM albo CommonJS), licencję, repozytorium, w czytelnym formacie zamiast szukania po JSON-ie.

Karta „Skrypty" rysuje graf: który skrypt wywołuje który. Widzisz `build` → `clean` + `compile` → `tsc`. To bezcenne przy odziedziczonym projekcie z 30 skryptami.

Karta „Pola wymagane" to zielony lub żółty checklist: name, version, description, license, scripts, repository. Wiesz od razu, czego brakuje, żeby paczkę dało się opublikować w npm.

Kliknij Sformatuj, jeśli wkleiłeś jednolinijkowy `package.json` i chcesz mieć czytelny output do skopiowania z powrotem.

Kiedy się przydaje

Pięć sytuacji, w których walidator oszczędza Ci godzinę debugowania CI:

Przed pierwszym `npm publish`. Paczka idzie do npm po raz pierwszy. Walidator sprawdza, czy nazwa jest poprawna (zła znaki w nazwie = rejestr odrzuca), czy wersja jest w SemVer i czy masz licencję. Bez tego dowiesz się dopiero po `npm publish`, gdy publikacja padnie z błędem.
Code review pull requesta z monorepo. Ktoś dodał paczkę. Wklejasz jej `package.json` do walidatora i od razu widzisz: **`"react": "*"` w deps**. Komentujesz w PR, zanim mergeujesz coś, co rozsypie się przy najbliższej aktualizacji.
Audyt cudzego projektu, który masz przejąć. Bierzesz legacy projekt, w którym 47 skryptów wywołuje się nawzajem. Walidator rysuje graf, widzisz, że `release` wywołuje `build`, ten `compile`, ten `tsc`. Mapa drogowa zamiast czytania 47 linii po kolei.
Sprawdzenie, czemu CI pada na `npm ci`. Build na CI nie chce przejść. Wklejasz `package.json` i widzisz: `pakiet-x` jest w deps i devDeps, lock-file gubi się, `npm ci` wybiera różne wersje. Walidator pokazuje to czerwoną kartą.
Migracja z npm na pnpm albo yarn. Przed migracją wklejasz oba `package.json` (stary i nowy), sprawdzasz, czy peer dependencies są spójne, czy nie ma gwiazdek (pnpm jest mniej tolerancyjne) i czy skrypty się układają w sensowny graf.

Pytania i odpowiedzi

Walidator package.json

Co siedzi w Twoim package.json? Sprawdź zanim wrzucisz na produkcję

Jak używać

Kiedy się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Dekoder JWT

Generator UUID

Walidator package.json

Co siedzi w Twoim package.json? Sprawdź zanim wrzucisz na produkcję

Jak używać

Kiedy się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Dekoder JWT

Generator UUID