希望使用 GCP Artifact Registry 作为 NPM 包的真实来源,以确保开发人员引入他们已经通过许可、漏洞甚至可能用补丁版本覆盖它们的包
谷歌给出了一些场景和用例;但没有关于他们如何建议这样做的真实例子
将依赖项存储在私有注册表中
Artifact Registry 提供了从公共存储库安装的便利以及对依赖项的控制。
https://cloud.google.com/artifact-registry/docs/dependencies#approaches
手动或使用直通代理将您需要的第三方依赖项显式镜像到您的私有存储库中
https://cloud.google.com/artifact-registry/docs/dependencies#public-dependencies
该指南显示了如何上传您的包,但并没有真正提供批量导入一堆不属于您的依赖项的好方法;看看是否可以使用直通代理会更酷。