用过 Colors 和 Faker.js 的今天不要更新项目依赖

2022-01-10 09:35:44 +08:00

Mithril

作者在 NPM 包里放了死循环。如果你的项目有直接或者间接引用的话，很可能会挂掉。 https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/

项目的依赖管理还是要谨慎一些，特别是当不指定具体版本号的时候，一旦更新很可能会炸掉。

NPM 这种动不动几百上千个依赖的，真要认真管起来的话简直是噩梦。

17427 次点击

所在节点

程序员

125 条回复

yuthelloworld

2022-01-10 09:41:10 +08:00

无语了

sadfQED2

2022-01-10 09:42:15 +08:00

这就属于作恶了

Rrrrrr

2022-01-10 09:43:15 +08:00

npm 不能锁包真的……

anonydmer

2022-01-10 09:44:29 +08:00

每年都要看几个 npm 的瓜，前端故事就是多啊 /狗头

FightPig

2022-01-10 09:45:05 +08:00

npm 的瓜一直没停过

x86

2022-01-10 09:47:31 +08:00

前端娱乐圈就开始整活了

stkstkss

2022-01-10 09:51:02 +08:00

把 package 依赖里面版本号前面的^去掉

cweijan

2022-01-10 09:51:24 +08:00

才知道这个 faker.js 的作者也是 colors 的作者, 这个周下载两千万, 牛

Mithril

2022-01-10 09:53:07 +08:00

@stkstkss 麻烦的在于间接引用，你也不知道你哪个依赖库就引了它进来。。。。
最好搜一下 node_modules 看看

vone

2022-01-10 10:00:40 +08:00

https://github.com/Marak/colors.js/commit/5d2d242f656103ac38086d6b26433a09f1c38c75

这个提交才是最骚的，修复了死循环报错的 bug 。

https://s4.ax1x.com/2022/01/10/7A4Ert.png

chenmobuys

2022-01-10 10:04:43 +08:00

可以说是前端自己一手造成的，依赖的太多太深了，导致别人删除一个库，全崩了

aboat365

2022-01-10 10:05:23 +08:00

发生什么事了，报复社会？

7gugu

2022-01-10 10:06:53 +08:00

之前是不让大公司白嫖，现在做这种事情就是恶心同行人了啊！

wonderfulcxm

2022-01-10 10:08:03 +08:00

这他喵的这个包管理机制就有问题

wu67

2022-01-10 10:09:16 +08:00

@wonderfulcxm 本来就是个沉重的历史包袱 hhh

binux

2022-01-10 10:11:04 +08:00

project owner 有向自己的项目提交任何内容的自由 🐶

SummerDruid

2022-01-10 10:11:35 +08:00

想起来一句中二名台词:“让世界感受痛楚”

littleylv

2022-01-10 10:13:28 +08:00

贵圈真乱（ doge

proger

2022-01-10 10:14:22 +08:00

@vone 请教一下，for 循环删除一个分号就行了吗？这是啥原理啊

hpuchenkai

2022-01-10 10:18:02 +08:00

吓得我看了下项目，还好用的是 chalk

第 1 页／共 7 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/827224

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.