Recent searches
Search options
Administered by:
Revertron 
Деструктивный пакет everything напомнил об уязвимостях реестра npm
Пакетный менеджер npm попал в неприятную историю, которая снова возродила споры о принципах работы реестра с микрозависимостями для JavaScript (и Node.js). Критики утверждают, что уровень зависимостей в npm слишком большой. Многие помнят историю 2016 года с микромодулем left-pad из нескольких строчек кода , которые реализуют примитивную функцию вставки пробелов в левой части строк. Он был установлен в качестве зависимости в React, Babel и других пакетах. Автор и мейнтейнер left-pad решил в знак протеста отозвать его , что вызвало массовый сбой в работе веб-сайтов . После этого компания npm Inc. запретила авторам отзывать свои пакеты без разрешения администрации. Сейчас мы наблюдаем в каком-то смысле продолжение этой истории.