JavaScript

npm: Neue Regeln für Public Registry von npm

npm setzt Request-Limit: Wie viel kostenlose npm-Nutzung ist akzeptabel?
Keine Kommentare

Fast alle Webentwickler*innen nutzen npm und die meisten davon bewegen sich in einem normalen Rahmen: Nur 0,01% der npm-Nutzer*innen verwenden das Public Registry so intensiv, dass ihr Ressourcenverbrauch ein Problem für das Unternehmen darstellt. Darum hat npm Inc. jetzt Grenzen für die Request-Rate pro Monat festgelegt.

Das öffentliche npm Registry wird von npm Inc. bereitgestellt und betrieben. Mit inzwischen elf Millionen registrierten Nutzer*innen erlebt npm ein seit vielen Jahren ungebrochenes Wachstum und stellt den zentralen Dreh- und Angelpunkt für die Entwicklung vieler Web-Projekte dar; fast jedes JavaScript-Package kann über npm bezogen werden. Wird das falsche Projekt aus dem Registry entfernt, kann das weitreichende Folgen selbst für Internet-Riesen haben, wie mit left-pad bereits vor Jahren demonstriert wurde. Mit der Sicherheitsfrage der Eigentümerschaft von Packages im npm Registry befasst sich das Team des Unternehmens seit dem vergangenen Jahr intensiv, in diesem Jahr wurde mit npm Enterprise eine Lösung geschaffen, mit der Unternehmen kritischen JavaScript-Code besser verwalten und schützen können sollen. Ruhe kehrt bei npm damit jedoch noch nicht ein.

Nun ist npm Inc. über eine weitere Schwierigkeit gestolpert, die aus der kommerziellen Nutzung von Packages entsteht, die im öffentlichen npm Registry liegen: Ein Großteil der Nutzer*innen setzte nur wenige Requests pro Monat ab; ein sehr kleiner Teil jedoch verursache eine unverhältnismäßig große Menge an Aufrufen, wie das Unternehmen nun mitteilte. Dabei handele es sich um große Unternehmen, die kommerzielle Produkte anbieten und dafür viele JavaScript-Packages einsetzen. Wenige Unternehmen kämen so auf hunderte Millionen Requests im Monat. Dieses Verhalten möchte npm Inc. in Zukunft unterbinden, um die Verwendbarkeit des Registry für alle User aufrecht erhalten zu können.

npm: Wenige Nutzer mit sehr vielen Requests betroffen

Laut npm seien es 0,01 Prozent der Nutzer*innen, die eine problematische Anzahl an Requests verursachen. Das Schwellenlevel dafür wurde auf fünf Millionen Requests pro Monat gesetzt. Unternehmen, die darüber liegen, seien in den vergangenen Monaten bereits von npm kontaktiert worden. In vielen Fällen sei den Unternehmen nicht bewusst gewesen, wie viele Requests pro Monat sie generieren. Für Unternehmen, die die Anzahl ihrer Requests aber auch auf Aufforderung nicht reduzieren, soll künftig jedoch eine Limitierung durch npm erfolgen.

In der offiziellen Ankündigung der neuen Limitierung wird explizit darauf verwiesen, dass npm den betroffenen Unternehmen kostenlos Unterstützung bei der Reduktion ihrer Requests anbiete. Häufig müsse dafür nur am Caching-Verhalten oder der Konfiguration des automatisierten Toolings gearbeitet werden. Dennoch sei es möglich, dass Unternehmen für die Überarbeitung ihres Codes Kosten entstehen. Nicht vorgeschlagen wird allerdings die Nutzung der Enterprise-Lösung, die auf andere Anwendungsfälle ausgelegt ist und nur ein Interface zum Public Registry darstellt, also auch auf dieses zugreift. Wer bislang nicht von npm kontaktiert wurde, sei aber eh auf der sicheren Seite und habe keine problematisch hohe Request-Rate zu verantworten.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -