node-ipc 暴雷， vue 用户注意一下你的依赖

@shengyueming 你真是脑子有毛病，你利用开源社区的规则赢取了信任去做坏事，我还不能骂了？反思怪真的牛逼，你有你的立场可以，甚至你在 readme 里面表达也可以，你特么往代码里面塞东西删用户的文件，往别人的 pc 里面创建文件，这是犯罪知道吗？

@emeab #59 双标就是这样的

> 如果主机的 IP 地址来自俄罗斯或白俄罗斯，该代码将对其文件进行攻击，将文件全部替换成 ❤。该作者是个反战人士，还特意新建了一个 peacenotwar 仓库来宣传他的反战理念.

嚯，牛批，挂俄罗斯梯子的会不会被爆破哇

@shengyueming 多谢你，多了一个 block 的对象

@shengyueming 你来我的饭店吃饭，我给你的菜里加 shit ，但是我给你免费吃， 你是不是要对我感恩戴德？我都给你免费了，我往里面加什么是我的自由，是不是！

@jk54 因为 npm 的依赖机制问题，java 的依赖的不会不是递归依赖，rust 目前没有 npm 规模大，golang 的机制其实和 npm 比较像，但又不完全像，基础工具还是完全依赖官方的。npm 最大的问题其实从底层就是千万的轮子，你都不知道哪个底层轮子出问题

@wapzjn #50 并不是这样的，lockfile (package-lock.json, yarn.lock, pnpm-lock.yaml)的作用就是保证所有的依赖版本都和你初次 install 是一致的，如果你开发的是一个应用，你应该总是把这个文件 commit 进去，这样其他协作者，CICD 都能保证是一致的，除非你手动更新了依赖才会导致 lockfile 也更新。如果你开发的是一个 library ，倒是可以不 commit ，这样会让问题提早被发现。

开源对开发者来说事实上提供了一个简单免费快速方便的软件分发方式，中间是不存在审核的，任何人都可以发布任何你想要发布的东西，其他人开到是开源时天然就产生了一种更信任的感觉，这个社区就是建立在脆弱的信任链条上的，希望它从来不出问题是不可能，扪心自问有几个人使用 curl xxx.sh | bash 这种方式安装东西的时候会去检查那个脚本里写了什么呢？更别说一个项目那么多的依赖了。

不管是包的数量还是开发者的数量，npm 社区这个第一庞大的超级规模出现这种事情是完全可以预期的，其他语言 /社区要做这种事情一样有的是办法，拿这点来喷完全就是尬黑了，还有黑前端的，node-ipc 看包名就知道是个 nodejs 进程通信的包，跟前端有什么关系？意思前端一些基础设施工具底层依赖了这玩意儿就也能把整个前端圈拿出来批判一番了？

再多说一句，这种事情我相信以后会越来越多，倒不是说某个开发者自己发疯下毒，而是随着软件行业的繁荣和开源社区的壮大，这个脆弱的链条会被越来越多坏人盯上，我印象里的这种 supply chain 上暴露的问题已经是肉眼可见的一年比一年多了。

这对开源社区是一个非常大的打击。
突然觉得，BSD 社区的人观点是对的。

今天只是这个前端搞事而已，明天若是 linux 内核有开发者这么搞，那这“开源”就死了。

https://github.com/zlw9991/node-ipc-dependencies-list/
有个受影响的库可以查

@wooi 直接走流程？

@zhaol 你脑子没有毛病至于这么激动？不就是跟你观点不一样？当心气急败坏猝死

@emeab 所以骂的人和现在骂的人是一波人？所以有什么可比性。就是要煽动对立呗

@brucedone 你爱咋咋吧。以为别人惧怕你 block 似的。对于任何人的生活不产生任何影响。你这种思想也就是某某长期熏陶下的产物

@sprite82 你每天吃的外卖真有可能，并且你还会说真好吃。连小学生的餐食都不放过的地方，别说你们这种底层了

@shengyueming 比不上你，毕竟你吃的是高贵的洋大人的给你剩下的泔水

@shengyueming 24k 纯智障，别回复了。脑残

@zhaol 听说你父母挂得早？所以么家教？你觉得我会跟风狗对着喊吗？

@sprite82 你赶紧少吃点，省下来的钱要资助你的黑哥，还有你的老婆给他们做学伴

@shengyueming fw 东西，被人喷了，知道自己没理了，开始嘴臭了