MiB: por que o Drizzle ORM ficou um mês sem conseguir publicar atualizações no NPM

O limite de 100 MiB no NPM e o gargalo do Drizzle ORM

O ecossistema JavaScript enfrentou um problema de infraestrutura raro em junho de 2026. O Drizzle ORM, projeto popular de mapeamento de objetos, ficou um mês sem conseguir publicar atualizações no registro. O motivo foi o atingimento do limite de 100 MiB no tamanho do packument. Esse documento JSON armazena os metadados de todas as versões de um pacote. A análise técnica foi detalhada por Evert no artigo original do blog da vlt.io.

O NPM foi construído originalmente sobre o CouchDB. Para que a CLI saiba todas as versões disponíveis, o registro cria o packument acumulando os manifests de cada release. O Drizzle possui muitas exportações ESM. Isso faz cada manifest ocupar cerca de 131 KB. A prática de publicar snapshots de desenvolvimento a partir de commits do git acelerou o acúmulo. O projeto atingiu o teto de 763 releases e travou. O NPM bloqueia a exclusão de versões após 72 horas por questões de segurança. A equipe precisou acionar o suporte para limpar versões antigas manualmente.

Entender o packument é crucial para a experiência do desenvolvedor e otimização de builds. Quando você instala um pacote sem usar o lockfile, o cliente baixa o arquivo inteiro. Um documento gigantesco degrada a performance de instalações limpas e consome banda desnecessária. Manter o package.json enxuto e evitar publicar builds de desenvolvimento no registro público são práticas essenciais.

A solução proposta por Evert aponta para o futuro da gestão de dependências. Os clientes poderiam informar ao registro apenas as faixas de versão estáveis que precisam. Registros alternativos já testam essa abordagem com listas de permissão. Eles reduziram o tamanho do packument do Drizzle para apenas 1.7 MiB. Isso mostra que as ferramentas de empacotamento precisam acompanhar a complexidade das exportações modernas.