用过 Colors 和 Faker.js 的今天不要更新项目依赖

2022-01-10 09:35:44 +08:00
 Mithril

作者在 NPM 包里放了死循环。如果你的项目有直接或者间接引用的话,很可能会挂掉。 https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/

项目的依赖管理还是要谨慎一些,特别是当不指定具体版本号的时候,一旦更新很可能会炸掉。

NPM 这种动不动几百上千个依赖的,真要认真管起来的话简直是噩梦。

17536 次点击
所在节点    程序员
125 条回复
zxcslove
2022-01-11 08:45:21 +08:00
妥妥的加速主义
yuezk
2022-01-11 09:23:36 +08:00
用 yarn 吧,默认锁版本,靠语义化版本号自动更新还是有点不太靠谱
yzxhzxsw
2022-01-11 09:38:40 +08:00
一袋米要扛几楼
karloku
2022-01-11 10:33:30 +08:00
@Cielsky 锁包了就没事. npm i 时生成 package-lock 都是默认选项了, 用 npm ci 能保证按照 package-lock.json 里的依赖进行安装.
而且 npm i 也只会在发现写在 package.json 里的项目有新版本时更新 package-lock.json. 非库项目不要用 ^ 指定依赖版本, 应该直接指定确定的版本号. 这样只有手动升级的时候才会导致 lock 变更, 可以进行测试.
skiy
2022-01-11 21:35:04 +08:00
社区是真的快,已经有人 fork 并发布到 npm 了。

https://github.com/faker-js/faker

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/827224

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX