使用开源代码一定要小心，其实这里还有一个非隐秘的问题，就是开源代码也不上传node_module, 但是自己写了一个npm模块，然后在package.json里引入了一个被开源作者自己改写过的库，这种情况更容易迷惑用户，让用户上当