Web 3 项目前端 repo 代码疑问

2022-07-06 16:32:24 +08:00
 YadongZhang

可能是普遍现象:

楼下有补充吗

4394 次点击
所在节点    职场话题
65 条回复
rongchuan
2022-07-07 00:37:09 +08:00
@YadongZhang 跟这俩库没关系,只是泛指第三方库。举个例子,代码里已经有 moment ,那说明 moment 已经通过了安全审查,出了问题就是安全审查的人的问题。如果没有安全审查,那就是引入 moment 这个库的那个人的问题。如果是你替换了 moment ,引入 dayjs ,而且没有安全审查,那出了问题就是你背锅了。第三方库完全依赖维护人,如果维护人无意或者故意引入 bug ,是很容易造成损失的,而且这种情况并不少见。
rongchuan
2022-07-07 00:41:38 +08:00
@YadongZhang 盗币的原因千奇百怪,随便列举都能说很多,比如拦截用户地址栏,会修改用户的转账地址,用户转账就是给他的钱包转,比如一些库有上报的机制,有可能会把你的登陆信息上报给第三方,比如水龙头,一些第三方库会用恶意脚本来刷新...不光是 web3 ,搞金融的公司这一块要求都很高,不是传统前端光展示页面
rongchuan
2022-07-07 00:42:36 +08:00
有一些库还有挖矿脚本,而且是不少库,有几个还是知名的库,你的页面里使用了这些库,那你的服务器就免费给他挖矿
rongchuan
2022-07-07 00:45:02 +08:00
@YadongZhang 我上家、上上家、还有目前这家都是维护自己的 npm 源,基本只用自己的 npm 库,项目依赖都是脚手架生成,依赖库版本全部锁定,你要引第三方依赖都得审批
233373
2022-07-07 00:50:42 +08:00
rongchuan
2022-07-07 00:52:20 +08:00
@rongchuan 记错了,上上家不是,我还记得在上上家接新需求还得自己从头先弄配置,当时写 vue ,组长不让用 vue-cli ,让自己配 webpack ,记了不少配置。技术选型全看个人喜好。
rongchuan
2022-07-07 00:53:59 +08:00
@233373 我们就 fork 了一份这个,给了两种版本,一种 hooks 调用的,一种纯 sdk 。主要是我们一些项目接的 mobx ,一些用的 hooks
walpurgis
2022-07-07 02:25:03 +08:00
react 那几条根本无关痛痒吧
package size 对于绝大部分企业项目来说是最不重要的,moment 相对用的人还是多
css 方案可以并存混用,怎么方便怎么来,只要团队成员都看得懂
导入导出无所谓,都是 IDE 自动补全,团队的话弄个规范就行

我们这也是有新项目 Vue2 的,主要是因为组件库迁不动,而且 Vue2 加上 composition-api 后逻辑复用能力不输 Vue3 的,TS 支持个人体验达到了 Vue3 的 80%了,写 any 是人的问题
YadongZhang
2022-07-07 06:10:59 +08:00
@rongchuan 安全审查真没接触过,不敢回复了
YadongZhang
2022-07-07 06:11:56 +08:00
monorepo 里每个 app 用脚手架生成的也见过
YadongZhang
2022-07-07 06:17:03 +08:00
@walpurgis #26

您觉得那真的无关痛痒吗

就不考虑一下性能啥的,而且那几十 kb 真的只是老板该考虑的吗,那都是 money
YadongZhang
2022-07-07 06:18:13 +08:00
@YadongZhang #30

当时以为只是方便
YadongZhang
2022-07-07 06:19:51 +08:00
个人以为新版本的产生必然是带来了性能的提升,新版本足够稳定的话,个人倾向使用新版本的框架
YadongZhang
2022-07-07 07:07:04 +08:00
@233373 #25 连个钱包上面两个已经很好用了,主要看起来好像有点复杂,UI 还得自己配
renhou
2022-07-07 08:31:00 +08:00
没办法
1 ,领导不让用
2 ,别说 CSS-in-JS 了,SASS 领导都不懂
3 ,领导:你就用 scprit 标签引入一下
4 ,领导:path alias 是啥
5 ,同事不会 vue3 ,甚至 vue2 里都用 jq
6 ,领导&同事:我们这只允许用 JS
233373
2022-07-07 10:02:11 +08:00
@YadongZhang 如果你们没有定制化 UI 的需求,用现成的就可以
wobuhuicode
2022-07-07 10:04:27 +08:00
这个和 web3 不 web3 没什么区别。
总结了一下 LZ 的这些问题,就是为什么新技术出来了,还要用旧的技术?
很简单,无论新旧技术,你的老板都看不见。只看到你什么时候能把产品产出并且稳定的运行。用自己熟悉并且网上有足够多解决方案的技术才是最正确的选择。
SSSensational
2022-07-07 10:17:50 +08:00
体积 /性能问题无关紧要,因为 dapp 本来就不是什么高频操作的日常应用。楼上说的安全问题在理,dapp 的类型决定了用户关注的只会是安全性问题。你提的那些的问题,主要是因为现阶段写 dapp 的人大多不是正经前端,做 dapp 的前提是能用就行。LZ 切勿陷入程序员思维的死区,你在乎的代码质量 /开发体验 /技术选型 本身不产生价值,在每个操作都涉及到钱的 dapp 面前,讨论这些没有意义。
YadongZhang
2022-07-07 10:26:22 +08:00
@233373 #36 好的
@wobuhuicode #37 老板真的没能力考量一下 app 性能 and 体积对公司利润的影响吗
@SSSensational #38 安全问题和性能问题冲突吗
xusanduo2019
2022-07-07 10:59:31 +08:00
还是懒吧,项目 run 起来没问题也就没啥动力去做技术迁移了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/864467

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX