淘宝 3.25 思考，如果在引用的第(zi)三(ji)方(de)包中做手脚...

这事又不是没出过，npm 有人做那种很基础的包然后删提交，结果 n 多人打包不过
所以要养成好习惯啊，能不升级千万不要升级，升级就意味着要覆盖测试

如果公司体量大了，应该使用自己的私有源，项目中使用的第三方包都需要经过安全审计

基本可以肯定问题出在了第三方包上，如果是自己的代码，bug 不会这么久都没有修复。
大公司肯定有自己的镜像站，而且会锁版本的，这种在第三方包上打洞的难度也很高，而且内部的审计系统应该会留有记录。打包记录，堡垒机记录，镜像更新记录，代码提交记录等都需要查，淘宝内部本周 007 估计逃不掉了，很多人会被 325

我才发现，天道轮回啊，当年开源包里埋彩蛋害了一票人，现在被自己人的 alert 坑了，淘宝估计要全员代码审查，这次埋个 alert 还带文字信息你没发现，那是不是还有 crash

我以为是绩效 3.25 。。

@kaleidoscope 不负责任的想，这是某个被 325 的员工埋下的 325 彩蛋。

@murmur antd 那是蚂蚁金服的。。orz 和淘宝关系不大了

ant design pro 的圣诞彩蛋是 18 年圣诞节的时候，印象深刻

不单纯一个 alert 吧，我看他们说日期调到 3 月 28 号之后的话，就真的打不开这个淘宝应用了。这个 bug 应该也不是存在时间很久的，因为没更新到 iOS 里最新版淘宝的都表示没发现有这个弹框。

挖一个去年的瓜：event-stream 被植入比特币后门的来龙去脉

http://caibaojian.com/event-stream.html

羡慕阿里彩蛋，amazing

js 这种不是常规操作？ npm 第三方库天天被动手脚