大家自己看看有没中招吧
1
des OP 这么严重的事情没人关心?
|
2
duan602728596 2018-11-27 12:17:12 +08:00 via iPhone
目前的项目还没用到 event-stream 这个包
|
3
des OP @duan602728596
不是你没直接用到就没影响了,你可以去看看下载量。好多大型仓库都引用了,比如 nodemon |
5
quinoa42 2018-11-27 12:43:55 +08:00
排查了下,自己写的几个小 project 都没依赖到,还好
|
6
Kirscheis 2018-11-27 12:48:28 +08:00 via Android 1
当年 leftpad 的事情之后竟然还有人相信这个奇妙的包管理方法。。翻车多少次也不奇怪
|
7
yuanfnadi 2018-11-27 13:01:35 +08:00
@duan602728596 vuecli nodemon
|
8
hujianxin 2018-11-27 13:03:56 +08:00
吃瓜
|
9
shuang 2018-11-27 13:10:03 +08:00
搜了下,用到了
|
10
rabbbit 2018-11-27 13:12:08 +08:00
|
12
hahastudio 2018-11-27 13:18:15 +08:00
eslint-scope 那件事之后,好像 npm 也没做什么
|
13
ecnelises 2018-11-27 13:24:05 +08:00
npm 已经算做得好的了,有人力财力搞自动扫描什么的,社区反应也比较快。只不过是出了问题影响的面大,所以关注的人比较多。想想其他语言社区像 PyPI、RubyGems 什么的(不过它们好像也不会一个项目依赖成百上千个包)
|
14
lovedebug 2018-11-27 13:24:38 +08:00
哎,Node 的生态问题,大公司贡献的优质库太少了
|
15
ChristopherWu 2018-11-27 13:35:12 +08:00
好像已经是 6 天前的新闻了-_- , 好像关注度不高啊,我也是中午刷朋友圈,看到 javac 的文章才知道。
不过,在你说的那个时候,我也在前端娱乐圈里加上了此新闻: http://qianduanyule.club/ |
16
123s 2018-11-27 13:39:59 +08:00
如果是偷数字货币,我觉得 80%的人可以安全躲过。但是 npm 的问题,怕是堵不完。
|
17
maichael 2018-11-27 13:42:07 +08:00
npm-run-all 也依赖了。今天才刚把这个东东清理掉了。
|
18
cstj0505 2018-11-27 13:45:37 +08:00
lz,为啥进了你的帖子背景变黑色了,其它还是正常的。
KDE+FF |
20
liubo618 2018-11-27 13:48:30 +08:00
@rabbbit 兄弟 我打开怎么发现没有呀![]( https://api.superbed.cn/pic/5bfcda09c4ff9e05833a0c7f)
|
21
chengluyu 2018-11-27 13:49:11 +08:00
npm 的问题在于包太碎了,一个很小的函数都可以做成单独的包,导致最终的项目中可能依赖上千个包。要是 Python 的话,一般的项目顶多用几十个包,谁有问题一眼就看出来了。
|
23
bhaltair 2018-11-27 14:13:06 +08:00
vue 中枪了
|
24
az402 2018-11-27 16:28:10 +08:00
antd-pro 中枪
|
25
sigup 2018-11-27 16:34:54 +08:00
挖矿太容易被发现了, 试想一下,如果是给你装个 rootkit。。
|
28
chengfeng 2018-11-27 19:58:56 +08:00 via iPhone
关键是作者的处理方式吧,自己不维护了就随便丢给别人了
|