用过 Colors 和 Faker.js 的今天不要更新项目依赖

作者在 NPM 包里放了死循环。如果你的项目有直接或者间接引用的话，很可能会挂掉。 https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/

项目的依赖管理还是要谨慎一些，特别是当不指定具体版本号的时候，一旦更新很可能会炸掉。

NPM 这种动不动几百上千个依赖的，真要认真管起来的话简直是噩梦。

hatsuyuki

2022-01-10 15:51:15 +08:00

@abersheeran 人性如此，资产阶级消灭了只会产生新的权贵资产阶级，只要有管理关系，就会有阶级

xiaojun1994

2022-01-10 16:41:08 +08:00

说的好像只有前端会遇到似的，依赖 github 仓库的包一大把，只要人家想，你照样会出事

karloku

2022-01-10 16:43:47 +08:00

@2i2Re2PLMaDnghL 对, 我意思 MIT 就只要求写个 "Copyright Notice" (翻译: 冤有头债有主(

LawlietZ

2022-01-10 16:54:06 +08:00

@abcbuzhiming 又不止是前端社区问题。。否则 log4j2 问题怎么出现的

cloudzqy

2022-01-10 16:56:24 +08:00

@LawlietZ log4j2 是代码写出了漏洞，所有软件都会有这个问题。但是 npm 这个，只要有一个作者犯病，全体跟着遭罪。

Felldeadbird

2022-01-10 17:08:09 +08:00

npm 出问题不是一两天了。最灾难是接受维护老项目。很多东西不能乱动，真的贯彻了：“代码能跑就行”

abcbuzhiming

2022-01-10 17:24:26 +08:00

@LawlietZ log4j2 是软件出了 bug ，哪家软件没 bug 呢？ bug 又不是作者故意写的。可是 npm 的几次事件都是人故意作恶，不管是黑客入侵篡改代码，还是像这一次这样作者恶意删除代码。npm 给人感觉是完全没审核，没人管。

abcbuzhiming

2022-01-10 17:26:26 +08:00

@LawlietZ 前端社区有没有问题我不知道，但是 NPM 肯定有问题，我没见过哪家的包管理工具像这样跟没人管一样。

reiji

2022-01-10 17:33:44 +08:00

这事情一出估计会让人评估自己是否还真的需要搞个 bot 给自己的前端 repo 自动更新版本了，毕竟这个机制的前提建立在包更新都是给功能进行优化和增加安全性的信任上

Mr54

2022-01-10 17:59:08 +08:00

看来这作者是想让这事闹大出圈啊，看看那些白嫖了他库的大公司会做什么反应，上面看到的那个 ceo 说已经给他们用的库捐了钱了，希望作者能继续生活吧

LawlietZ

2022-01-10 18:12:40 +08:00

@abcbuzhiming Java 对于个人维护的包，如果他下毒，升级后也是有这个问题的

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.