用过 Colors 和 Faker.js 的今天不要更新项目依赖

作者网上要钱要了一段时间了，没人给钱，气得慌，凭什么你们都用我的项目赚钱，给你们个教训。

@123jiayue 大部分人知道他是谁吗？ 他下次只要换个 Id 在发布，只要东西好一堆人用。

@yangzzzzzz 应该是是 Infinity ，在 js 中表示无穷大的意思，下面那个 i%333 不影响

支持作者

贵圈真乱

还是 rust 好，rust 的包提交到 crates.io 之后就再也不能修改和撤回

其实其他的包依赖一样会出这样的事，Go / Swift 这种依赖 GitHub 的也很危险，决定从今天起依赖全部 fork 😂

支持作者，资本家🙂😑🙄

@Wincer github 还有这种操作的吗，见识到了

Retool 抄袭 faker.js 作者的 faker cloud 的 CEO 回应 ：

https://news.ycombinator.com/item?id=27252331

傻逼才做开源

@ryh 别的不太清楚, 前端的 fork 不过来的, package.json 里面可能只写了 20 来个依赖, 但是依赖的包他也是有各种依赖的, 然后树形遍历套娃, 最好整个 node_module 里面的依赖可能有几百上千个...

@ryh go 并不是依赖 github ，只是依赖 git 这个东西做管理，你 fork 的包一样引用。

支持作者

一袋米要扛几楼

外国人也 666 ？

用 MIT License 就要做好被白嫖的准备. 这协议除了留个 Copyright 之外几乎什么都给出去了.

用开源项目不锁好版本号, 不测试版本更新, 那后果也是自负. 外部依赖本来就是系统风险的一部分.

@ryh 哈哈。用 Go 时有碰到过一次七牛云某个 SDK 仓库删了，我自己再根据仓库名从别人 Fork 的项目补回来。

说实话，这种事是不可避免的。

有个 BaiduPCS-Go 的项目的主仓库被作者删了，我也直接从别的地方 fork 过来，作者名下的依赖我也全部 fork 过来为，并将主仓库的依赖也全改了。

这种事情，怪不得作者了。有时候我自己也会删库，所以没有权利双标。

现在我有些仓库是 0 fork 的，我会自己决定删不删。那些有 fork 的，我会看情况移到一个新建的“trans”组织里专门存放一些弃更的仓库。

所以为啥 npm 老出这种问题，这么久了，nodejs 社区还是建立不起一个依赖库审核机制吗？不是黑客入侵，就是作者删库