是否可以在项目或机器配置中将NPM包版本列入黑名单？

鉴于在生产过程中出现了一些问题，我想知道是否可以在

package.json

中或在机器级别（可能在

.npmrc

或

.yarnrc

中）将包版本列入黑名单

我期望的行为是升级是可能的，所以这不是一个固定的semver版本。SemVer故意避免定义版本跳过，因为

SemVer旨在传达发生的更改类型，而不是 发生了多少变化。如果用户想知道 有多少变化，他们应该查看变更日志。长长的 changelog告诉他们这是一个大的更新

---

但是作为一个用户，我可能事先知道我从不想要这个版本。例如，永远不要使用5.7.0，但5.7.1是可以的。

如果您有依赖于B的包A，并且B有一个已知的坏版本，您可以定义一个版本范围，其中有一个孔。见本报告最后一段。但是，我不知道有什么方法可以在您的系统上全局黑名单这样一个版本，因此如果您安装了a，并且它对B的依赖性没有版本漏洞，您可能会得到坏版本，但是在您上面所述的示例中，当发布有关缺陷的新闻时，违规版本被从出版物中删除

您可以做的一件事是清除缓存中的任何坏包版本，以确保它们不能用于解决依赖关系