用过 Colors 和 Faker.js 的今天不要更新项目依赖

2022-01-10 09:35:44 +08:00
 Mithril

作者在 NPM 包里放了死循环。如果你的项目有直接或者间接引用的话,很可能会挂掉。 https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/

项目的依赖管理还是要谨慎一些,特别是当不指定具体版本号的时候,一旦更新很可能会炸掉。

NPM 这种动不动几百上千个依赖的,真要认真管起来的话简直是噩梦。

17429 次点击
所在节点    程序员
125 条回复
Pastsong
2022-01-10 10:23:08 +08:00
所以依赖版本记得用 fixed-version
SingeeKing
2022-01-10 10:26:16 +08:00
paoqi2048
2022-01-10 10:26:33 +08:00
看来是为了引起更多人的注意
yangzzzzzz
2022-01-10 10:27:21 +08:00
@proger 分号那个是格式化问题吧 应该是下面那个 i%333
IsaacYoung
2022-01-10 10:30:39 +08:00
娱乐圈
crs0910
2022-01-10 10:35:06 +08:00
@yangzzzzzz 分号是语法错误。

作者不是被 github 封号了吗,怎么还能提交?
Jwyt
2022-01-10 10:37:10 +08:00
@crs0910 谁说作者被 github 封号了啊
vone
2022-01-10 10:38:07 +08:00
@proger 原来 for 循环括号前面的分号属于语法错误,会导致程序直接挂掉,他那个 "Fix bug" 提交修复的是语法报错,死循环仍然存在。
(修复的是不能正常死循环的 bug ,所以这个提交仍然是个恶作剧)
Henry007
2022-01-10 10:38:46 +08:00
贵圈真乱啊
nojsja
2022-01-10 10:38:56 +08:00
suspend 应该是账户暂停的状态
alexkkaa
2022-01-10 10:40:04 +08:00
作者好像家里失火失去财产 又被调查是否制造 boom 自己又受了伤 我猜他现在也找不到工作

用爱发电持续不下去了
Biwood
2022-01-10 10:44:25 +08:00
不觉得乱,也不觉得作恶,支持作者,话说 npm 体系现在才出现问题吗,那说明社区的自律性已经很强了
gofishing
2022-01-10 10:47:17 +08:00
@Biwood 之前 npm 就有过删库事件. 然后一堆项目跑不起来.
Kasumi20
2022-01-10 10:52:15 +08:00
chuyik
2022-01-10 10:53:00 +08:00
今天就中招了,还好只是跑了个 demo
mywaiting
2022-01-10 10:54:44 +08:00
感觉会有一个很值得思辨(撕逼)的问题:

我个人开源提交到 NPM 的包(被无数引用的包),是否还属于我个人?

如果不属于我个人,这个包属于谁?

如果不属于我个人,那么这个为啥是我提交以及开源维护?

~~~ 抛砖引玉 ~~~
wsseo
2022-01-10 10:55:07 +08:00
开始整活
SummerDruid
2022-01-10 10:58:00 +08:00
@Biwood 前几年就出过一次事故了。当时有个老哥 Azer 写了个叫 kik 的模块,结果和某家公司的产品重名了被发律师函威胁,Azer 老哥不答应,然后这家公司直接找 npm 公司处理,npm 直接不经这个作者的同意,擅自把这个 kik 包的权限转移给了这个公司,Azer 老哥一怒之下把所有自己写的 npm 包 unpublish 了,结果其中有个叫 left-pad 的模块被广泛使用,导致 Babel 、ReactNative 等大量工具构建失败,npm 公司最后赶忙灭火强制恢复了这个 leftpad 模块,而且还是不道歉,最后这件事貌似也就这么不了了之了。
meteor957
2022-01-10 11:11:04 +08:00
娱乐圈名不虚传
littleylv
2022-01-10 11:18:26 +08:00
@SummerDruid #38 不懂就问,npm 的包名不包含作者名字吗,比如 user1/kik user2/kik company1/kik ,所以 npm 库里只允许存在一个 kik 么,太先进了,太牛逼了,瑞思拜

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/827224

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX