Npm зависимости: будь внимательнее с добавлением новых

https://news.ycombinator.com/item?id=14901566

npm пакеты с именами, похожимим на популярные пакеты, собирали данные из переменных окружения (что плохо). Злоумышленники назвали свой пакет crossenv, очень похоже на популярный пакет с названием cross-env.

Год назад парень, разрабатывающий пакет left-pad, убрал его из npm регистра. Это привело к поломке кучи проектов, ибо оказалось что множество популярных пакетов зависят от left-pad.

Оба события подталкивают внимательнее относиться к зависимостям в проекте. Добавляя множество непроверенных зависимостей ты делаешь проект хрупким, уязвимым к вышеописанным событиям.

1 лайк

Спасибо, Дмитрий, сделаем наши приложения антихрупкими!

1 лайк

И кстати вот сервис в тему - https://cost-of-modules.herokuapp.com (What is the cost
of my npm package ?)