用过 Colors 和 Faker.js 的今天不要更新项目依赖

npm

依赖

死循环

faker

125 条回复 • 2022-01-11 21:35:04 +08:00

1 2

❮

❯

1

yuthelloworld

2022-01-10 09:41:10 +08:00

无语了

2

sadfQED2

2022-01-10 09:42:15 +08:00 via Android

4

这就属于作恶了

3

Rrrrrr

2022-01-10 09:43:15 +08:00 via iPhone

npm 不能锁包真的……

4

anonydmer

2022-01-10 09:44:29 +08:00

每年都要看几个 npm 的瓜，前端故事就是多啊 /狗头

5

FightPig

2022-01-10 09:45:05 +08:00

npm 的瓜一直没停过

6

x86

2022-01-10 09:47:31 +08:00

12

前端娱乐圈就开始整活了

7

stkstkss

2022-01-10 09:51:02 +08:00 via iPhone

把 package 依赖里面版本号前面的^去掉

8

cweijan

2022-01-10 09:51:24 +08:00

才知道这个 faker.js 的作者也是 colors 的作者, 这个周下载两千万, 牛

9

Mithril

OP

2022-01-10 09:53:07 +08:00

@stkstkss 麻烦的在于间接引用，你也不知道你哪个依赖库就引了它进来。。。。
最好搜一下 node_modules 看看

10

vone

2022-01-10 10:00:40 +08:00

4

https://github.com/Marak/colors.js/commit/5d2d242f656103ac38086d6b26433a09f1c38c75

这个提交才是最骚的，修复了死循环报错的 bug 。

https://s4.ax1x.com/2022/01/10/7A4Ert.png

11

chenmobuys

2022-01-10 10:04:43 +08:00

可以说是前端自己一手造成的，依赖的太多太深了，导致别人删除一个库，全崩了

12

aboat365

2022-01-10 10:05:23 +08:00

发生什么事了，报复社会？

13

7gugu

2022-01-10 10:06:53 +08:00

之前是不让大公司白嫖，现在做这种事情就是恶心同行人了啊！

14

wonderfulcxm

2022-01-10 10:08:03 +08:00 via iPhone

这他喵的这个包管理机制就有问题

15

wu67

2022-01-10 10:09:16 +08:00

@wonderfulcxm 本来就是个沉重的历史包袱 hhh

16

binux

2022-01-10 10:11:04 +08:00

8

project owner 有向自己的项目提交任何内容的自由 🐶

17

SummerDruid

2022-01-10 10:11:35 +08:00

45

想起来一句中二名台词:“让世界感受痛楚”

18

littleylv

2022-01-10 10:13:28 +08:00

2

贵圈真乱（ doge

19

proger

2022-01-10 10:14:22 +08:00

@vone 请教一下，for 循环删除一个分号就行了吗？这是啥原理啊

20

hpuchenkai

2022-01-10 10:18:02 +08:00

吓得我看了下项目，还好用的是 chalk

21

Pastsong

2022-01-10 10:23:08 +08:00

所以依赖版本记得用 fixed-version

22

SingeeKing

2022-01-10 10:26:16 +08:00

1

https://twitter.com/marak/status/1479200803948830724

23

paoqi2048

2022-01-10 10:26:33 +08:00

看来是为了引起更多人的注意

24

yangzzzzzz

2022-01-10 10:27:21 +08:00

@proger 分号那个是格式化问题吧应该是下面那个 i%333

25

IsaacYoung

2022-01-10 10:30:39 +08:00 via iPhone

娱乐圈

26

crs0910

2022-01-10 10:35:06 +08:00 via iPhone

@yangzzzzzz 分号是语法错误。

作者不是被 github 封号了吗，怎么还能提交？

27

Jwyt

2022-01-10 10:37:10 +08:00

1

@crs0910 谁说作者被 github 封号了啊

28

vone

2022-01-10 10:38:07 +08:00

5

@proger 原来 for 循环括号前面的分号属于语法错误，会导致程序直接挂掉，他那个 "Fix bug" 提交修复的是语法报错，死循环仍然存在。
（修复的是不能正常死循环的 bug ，所以这个提交仍然是个恶作剧）

29

Henry007

2022-01-10 10:38:46 +08:00

贵圈真乱啊

30

nojsja

2022-01-10 10:38:56 +08:00

suspend 应该是账户暂停的状态

31

alexkkaa

2022-01-10 10:40:04 +08:00 via Android

作者好像家里失火失去财产又被调查是否制造 boom 自己又受了伤我猜他现在也找不到工作

用爱发电持续不下去了

32

Biwood

2022-01-10 10:44:25 +08:00

19

不觉得乱，也不觉得作恶，支持作者，话说 npm 体系现在才出现问题吗，那说明社区的自律性已经很强了

33

gofishing

2022-01-10 10:47:17 +08:00

@Biwood 之前 npm 就有过删库事件. 然后一堆项目跑不起来.

34

Kasumi20

2022-01-10 10:52:15 +08:00

https://user-images.githubusercontent.com/4365660/148700265-8b0063f7-28dd-4dbe-bb0b-892a6105b186.png

35

chuyik

2022-01-10 10:53:00 +08:00

今天就中招了，还好只是跑了个 demo

36

mywaiting

2022-01-10 10:54:44 +08:00

19

感觉会有一个很值得思辨（撕逼）的问题：

我个人开源提交到 NPM 的包（被无数引用的包），是否还属于我个人？

如果不属于我个人，这个包属于谁？

如果不属于我个人，那么这个为啥是我提交以及开源维护？

~~~ 抛砖引玉 ~~~

37

wsseo

2022-01-10 10:55:07 +08:00

开始整活

38

SummerDruid

2022-01-10 10:58:00 +08:00

19

@Biwood 前几年就出过一次事故了。当时有个老哥 Azer 写了个叫 kik 的模块，结果和某家公司的产品重名了被发律师函威胁，Azer 老哥不答应，然后这家公司直接找 npm 公司处理，npm 直接不经这个作者的同意，擅自把这个 kik 包的权限转移给了这个公司，Azer 老哥一怒之下把所有自己写的 npm 包 unpublish 了，结果其中有个叫 left-pad 的模块被广泛使用，导致 Babel 、ReactNative 等大量工具构建失败，npm 公司最后赶忙灭火强制恢复了这个 leftpad 模块，而且还是不道歉，最后这件事貌似也就这么不了了之了。

39

meteor957

2022-01-10 11:11:04 +08:00

娱乐圈名不虚传

40

littleylv

2022-01-10 11:18:26 +08:00

@SummerDruid #38 不懂就问，npm 的包名不包含作者名字吗，比如 user1/kik user2/kik company1/kik ，所以 npm 库里只允许存在一个 kik 么，太先进了，太牛逼了，瑞思拜

41

qxqsxbd

2022-01-10 11:24:24 +08:00

@littleylv 最开始的时候只有全局的命名空间，一个人占了别人就用不了了，后来才出现个人命名空间

42

SummerDruid

2022-01-10 11:29:01 +08:00

@littleylv 没错，就是你想的那样，npm 不使用你提及的作者名 /模块名的方式定位唯一模块，也不像 Maven 一样有 group 和 artifact 双重命名，它的包名唯一且先到先得。

43

ccppgo

2022-01-10 11:33:00 +08:00

难怪别人都说前端娱乐圈

44

jasonkayzk

2022-01-10 11:33:47 +08:00

1

刚开始搞前端的时候就感觉 npm 这个东西迟早会出问题…

45

coderluan

2022-01-10 11:35:36 +08:00

50

之前很多人说当事人开源了就要做好心里准备，那么现在同样的之后用开源代码的人也要做好心里准备，Fair Play.

46

ykk

2022-01-10 11:40:26 +08:00

1

心理准备

47

hengyunabc

2022-01-10 11:41:55 +08:00

1

所以拿到 npm 项目，第一时间把版本号全改为固定的，不然过几个月还能不能 build 就看烧高香了。

没有办法理解为什么 npm 这么喜欢所谓的版本自动升级，这个不是把性命交别人手上么。

48

hahastudio

2022-01-10 11:42:09 +08:00

现在 npm 在我看来就是用对代码的控制来换取开发的便捷
也许再出几个这样的事件，风险收益比就不行了

49

otakustay

2022-01-10 11:43:40 +08:00

@mywaiting #36 属于你自己，你既有任意修改发布的权利，也有因为包带来危害而个人形象受影响的风险

50

vanton

2022-01-10 11:49:03 +08:00

支持作者，前端真乱。
😁😂😃

51

NCZkevin

2022-01-10 11:54:24 +08:00

@alexkkaa 看 github 评论里有说是作者本人在家里搞事情，结果把家给弄起火了，然后在推上乞讨。
https://github.com/Marak/colors.js/commit/074a0f8ed0c31c35d13d28632bd8a049ff136fb6 这是我见过的 commit 里最长的楼，节目效果太强了

52

Wincer

2022-01-10 11:57:36 +08:00

@Jwyt #27 他自己在推上说的被 GitHub 冻结了，https://twitter.com/marak/status/1479200803948830724

53

proger

2022-01-10 11:58:42 +08:00

@vone 懂了，谢谢老哥～

54

stevenhawking

2022-01-10 12:02:52 +08:00

以后开源项目都得提供一个 reputation score, 低信誉的人的项目, GitHub 、Npm 等社区和工具不予以推广.

55

starrys

2022-01-10 12:24:20 +08:00

哟，原来 npm 已经被 GitHub 收购了。
来源: https://www.npmjs.com/about
npm, Inc. is a company founded in 2014, and was acquired by GitHub in 2020. npm is a critical part of the JavaScript community and helps support one of the largest developer ecosystems in the world.

56

123jiayue

2022-01-10 12:24:39 +08:00 via iPhone

为什么做这种降低自己信誉的事难到以后不干这行了

57

ncepuzs

2022-01-10 12:26:24 +08:00

贵圈真乱

58

acdfjelxe

2022-01-10 12:38:17 +08:00

@SummerDruid 神罗天征 🐶

59

v2lf

2022-01-10 12:47:21 +08:00

@proger 分号会变成两个语句块，

60

abersheeran

2022-01-10 12:50:04 +08:00

12

开源运动作为地球上唯一一个还在运作的共产主义运动，现在看来无疑是失败的。在没有消灭资产阶级之前，一切所谓的国际主义、共产主义都只是在剥削同为无产阶级的人为资产阶级打工罢了。

61

dianso

2022-01-10 12:50:48 +08:00

作者网上要钱要了一段时间了，没人给钱，气得慌，凭什么你们都用我的项目赚钱，给你们个教训。

62

forgottencoast

2022-01-10 13:07:43 +08:00

@123jiayue 大部分人知道他是谁吗？他下次只要换个 Id 在发布，只要东西好一堆人用。

63

daimubai

2022-01-10 13:16:09 +08:00

@yangzzzzzz 应该是是 Infinity ，在 js 中表示无穷大的意思，下面那个 i%333 不影响

64

WeiShenMe

2022-01-10 13:18:03 +08:00

支持作者

65

linora

2022-01-10 13:19:10 +08:00

贵圈真乱

66

fpure

2022-01-10 13:25:43 +08:00

还是 rust 好，rust 的包提交到 crates.io 之后就再也不能修改和撤回

67

ryh

2022-01-10 13:28:02 +08:00

其实其他的包依赖一样会出这样的事，Go / Swift 这种依赖 GitHub 的也很危险，决定从今天起依赖全部 fork 😂

68

qyzxgl

2022-01-10 13:32:52 +08:00

1

支持作者，资本家🙂😑🙄

69

Jwyt

2022-01-10 13:33:12 +08:00

@Wincer github 还有这种操作的吗，见识到了

70

liaohongxing

2022-01-10 13:37:42 +08:00

1

Retool 抄袭 faker.js 作者的 faker cloud 的 CEO 回应：

https://news.ycombinator.com/item?id=27252331

71

bwangel

2022-01-10 13:48:55 +08:00

傻逼才做开源

72

wu67

2022-01-10 13:48:59 +08:00

@ryh 别的不太清楚, 前端的 fork 不过来的, package.json 里面可能只写了 20 来个依赖, 但是依赖的包他也是有各种依赖的, 然后树形遍历套娃, 最好整个 node_module 里面的依赖可能有几百上千个...

73

lm930129

2022-01-10 14:02:36 +08:00

@ryh go 并不是依赖 github ，只是依赖 git 这个东西做管理，你 fork 的包一样引用。

74

yunyuyuan

2022-01-10 14:05:44 +08:00

支持作者

75

paopjian

2022-01-10 14:16:30 +08:00

一袋米要扛几楼

76

daquandiao2

2022-01-10 14:18:13 +08:00

外国人也 666 ？

77

karloku

2022-01-10 14:22:37 +08:00

2

用 MIT License 就要做好被白嫖的准备. 这协议除了留个 Copyright 之外几乎什么都给出去了.

用开源项目不锁好版本号, 不测试版本更新, 那后果也是自负. 外部依赖本来就是系统风险的一部分.

78

skiy

2022-01-10 15:00:52 +08:00

2

@ryh 哈哈。用 Go 时有碰到过一次七牛云某个 SDK 仓库删了，我自己再根据仓库名从别人 Fork 的项目补回来。

说实话，这种事是不可避免的。

有个 BaiduPCS-Go 的项目的主仓库被作者删了，我也直接从别的地方 fork 过来，作者名下的依赖我也全部 fork 过来为，并将主仓库的依赖也全改了。

这种事情，怪不得作者了。有时候我自己也会删库，所以没有权利双标。

现在我有些仓库是 0 fork 的，我会自己决定删不删。那些有 fork 的，我会看情况移到一个新建的“trans”组织里专门存放一些弃更的仓库。