淘宝 3.25 思考,如果在引用的第(zi)三(ji)方(de)包中做手脚...

2020-03-25 16:13:01 +08:00
 imdong

RT,现在开发肯定会引用一大堆第三方开源库的包。

如果引用了一个在自己控制的包,那么是不是...

例如: Ant Design 彩蛋事件

3376 次点击
所在节点    职场话题
12 条回复
murmur
2020-03-25 16:19:31 +08:00
这事又不是没出过,npm 有人做那种很基础的包然后删提交,结果 n 多人打包不过
所以要养成好习惯啊,能不升级千万不要升级,升级就意味着要覆盖测试
tabris17
2020-03-25 16:21:36 +08:00
如果公司体量大了,应该使用自己的私有源,项目中使用的第三方包都需要经过安全审计
xkeyideal
2020-03-25 16:28:54 +08:00
基本可以肯定问题出在了第三方包上,如果是自己的代码,bug 不会这么久都没有修复。
大公司肯定有自己的镜像站,而且会锁版本的,这种在第三方包上打洞的难度也很高,而且内部的审计系统应该会留有记录。打包记录,堡垒机记录,镜像更新记录,代码提交记录等都需要查,淘宝内部本周 007 估计逃不掉了,很多人会被 325
murmur
2020-03-25 16:34:04 +08:00
我才发现,天道轮回啊,当年开源包里埋彩蛋害了一票人,现在被自己人的 alert 坑了,淘宝估计要全员代码审查,这次埋个 alert 还带文字信息你没发现,那是不是还有 crash
kaleidoscope
2020-03-25 17:05:00 +08:00
我以为是绩效 3.25 。。
easylee
2020-03-25 17:09:05 +08:00
@kaleidoscope 不负责任的想,这是某个被 325 的员工埋下的 325 彩蛋。
royzxq
2020-03-25 17:23:50 +08:00
@murmur antd 那是蚂蚁金服的。。orz 和淘宝关系不大了
neuthself
2020-03-25 17:26:08 +08:00
ant design pro 的圣诞彩蛋是 18 年圣诞节的时候,印象深刻
l00t
2020-03-25 17:26:29 +08:00
不单纯一个 alert 吧,我看他们说日期调到 3 月 28 号之后的话,就真的打不开这个淘宝应用了。这个 bug 应该也不是存在时间很久的,因为没更新到 iOS 里最新版淘宝的都表示没发现有这个弹框。
n313893254
2020-03-25 19:18:44 +08:00
挖一个去年的瓜:event-stream 被植入比特币后门的来龙去脉

http://caibaojian.com/event-stream.html
fhsan
2020-03-25 20:05:20 +08:00
羡慕阿里彩蛋,amazing
mars0prince
2020-03-26 10:40:01 +08:00
js 这种不是常规操作? npm 第三方库天天被动手脚

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/656091

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX