Как стать автором
Обновить

Комментарии 14

После инцидента с left-pad, npm приняла политику, согласно которой пакеты, у которых есть зависимые, или у которых более 300 скачиваний в неделю не могут быть удалены.

А чем ситуация с npm принципиально отличается от любого другого реестра пакетов? Того же apt, или pypi?

Что касается isarray. Ну мода такая была. Это даже считалось за бест-практайс. У комьюнити не было на что ориентироваться, кроме своего вкуса. Это сейчас Sebastian Markbage и рассказал как надо. А тогда не знали

Просто читая тот же опеннет диву даёшься, сколько там находят модулей с троянами. Прям каждый месяц по пачке. Хотя вот недавно у питона так же нашли пачечку.

+1 - мне тоже интересно.
Я слабо знаком как управляются репо с библиотеками других языков.
На уровне Линукс репо (RPM / DPKG) каждый дистрибутив управляет репо для себя, так что разработчик не может удалить свой пакет. Естественно, часто "родных" репо нехватает, тогда используют дополнительные, и там уже может быть всякое.

А то конкретно не так с npm?

Да, там 100500 пакетов и многие из них укладываются в пару строк. Ну так они и повторяются по тысяче раз на проект.

У меня своих проектов несколько и я каждый раз что-то копирую туда-сюда. А когда надо внести изменения - приходится делать это везде. А ведь есть npm и это удобнее.

Да от такого предложения даже Apple кони двинет. Давай создадим пирамиду: вы укажете всем друзьям программистам насколько npm плохой и скидываетесь деньгами. Удаляем модули, и наступает мировой коллапс экономики из-за бага с библиотекой в блокчейн сетях

Напоминает байку про уничтожение то ли змей, то ли крыс в Индии через систему вознаграждений от англичан

Интересно, что по формуле может получиться и отрицательное вознаграждение (если количество строк превышает количество скачиваний в неделю).

Зашел увидеть эту картинку а ее нет. Непорядок:

npm
image

Только эта проблема не специфична исключительно для нпм(хоть там она раскрывает себя наиболее красиво).

Что действительно стоит делать, так объяснять, что пакеты типа isArray или left-pad не стоит не только использовать, но и писать.

Я на JS программирую исключительно эпизодически. И мне стало интересно:

  • Есть ли модули-паки? Т.е. вообще без кода, но которые собирают, например, все "правильные" зависимости для работы с векторами?

  • А есть ли вообще такая возможность - не ставить кучу хрен-знает-каких зависимостей? Особенно когда работаешь с каким-нибудь фреймворком вроде react + ...?

А есть ли вообще такая возможность

Могу сказать, что когда работаешь со svelte - вполне нормально иметь пустой dependencies (на больших и сложных проектах одна - две зависимости обычно всё таки есть), правда в devDependencies будет сам svelte и, возможно, какой-нибудь uikit.

у меня есть решение посложнее, зато 100%

плати деньги конторам чтобы node в прод не пускали

всё, проблема решена (да и подозреваю так даже дешевле будет))

Очередно джун с комплексом Бога. Просто бери и проверяй пакеты, которые используешь, если тебя это так мучает.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий