Verdaccio

29 @mana/*-Pakete sind hier veröffentlicht: die geteilten UI-Bausteine, die Auth-Klienten, die Theme-Tokens, die Event-Sync-Bibliothek, die Shared-Marketing-Kits, die PWA-Helfer. Jede App und jeder Service zieht diese Pakete über .npmrc aus der Vereins-Registry, nicht aus npmjs.com.

Warum eine eigene Registry? npmjs.com hat eine Versions-Geschichte mit Übernahmen (GitHub → Microsoft), Sicherheits-Pannen (Supply-Chain-Attacks auf populäre Pakete) und einem Geschäftsmodell, das auf Telemetry über Dependency-Graphen läuft. Eine eigene Registry für die Vereins-Pakete entzieht diesen Schichten den Verein-Traffic.

Was nicht hier liegt: Public-npm-Pakete (React, Astro, Hono, Zod, …). Die kommen weiter von npmjs.com — Verdaccio kann als Proxy konfiguriert werden, lädt einmal und cacht. Wer offline ist und das Cache hat, kann weiterbauen.

Login-Pfade: Jeder Verein-Maintainer hat einen User; CI-Bots (z.B. buildbot, claudebot) haben eigene Token. Jeder App-Repo enthält ein .npmrc mit dem Scope-Mapping und einen .gitignore-Eintrag, der den Token nicht ins Repo lässt.