【发布时间】:2021-10-04 02:59:16
【问题描述】:
2016 年,left-pad 包的维护者从 NPM 取消发布它,导致数百万个构建在 NPM 介入之前被破坏,并在可能出现太多混乱之前自行取消发布包
https://www.theregister.com/2016/03/23/npm_left_pad_chaos/
针对未来发生的此类事件采取了哪些预防措施? node_modules 文件在本地管理、捆绑等方面是否有任何变化? NPM 是否改变了他们关于开源工作方式的政策?是否有任何预期的努力来改变或修改开源开发的工作方式来处理此类问题?
编辑:我希望进行开放式讨论,但我猜 StackOverflow 不适合这样做,所以相应地修改了我的问题。
【问题讨论】:
-
很抱歉,这个问题与编程无关。总会有滥用的媒介,通常当我们回顾它们时,我们会说,“为什么我们不认为会发生这种情况?” 72 小时后取消发布包变得更加困难。这很可能是由于这个问题。我们无法预测下一个向量是什么。答案是“是的”,当然有可能发生。但它的意见是基于我们的意见,因为我们无法预测它会是什么或什么时候。
-
可能有防止取消发布大量使用的包的保护措施,但我怀疑任何自动化系统都可以检测到维护者是否用损坏的代码替换了一个版本(例如,使用右填充而不是左填充)跨度>
-
为了让问题更切题,我建议专门问“采取了哪些措施,实施了哪些保障措施,以防止这种情况再次发生?”而不是开放式的“会发生这样的事情吗?”或“可能发生的最坏情况是什么?”问题。
标签: javascript npm frontend node-modules