Как стать автором
Обновить

Комментарии 6

Так проблема же не в npm audit а в целом в подходе к контролю безопасности "по методичке". К сожалению тут всегда на первое место выходит процесс аудита а не реальное желание сделать продукт безопасным.

У приложения Node.js есть дерево зависимостей. Оно может выглядеть следующим образом:

Ну и где, собственно, дерево? Я вижу плоскую структуру. А вот в оригинале было именно дерево...


Та там везде пробелы потерялись. Какой-то перевод статьи без деталей к мелочам :-(

Боль Абрамова понять не сложно. CRA использует огромное количество зависимостей, и после каждого аудита все бегут именно к нему. Приходится отвлекаться и выделять время на фиксы.

С другой стороны, а что делать? Хотели автоматизированный инструмент - вот он. Такой лучше чем ничего. Единственный вариант его починить - дать возможность использующему пакету подавить предупреждение как не релевантное. Но какое же это поле для злоупотреблений и просто ошибок.

Классика жанра – как только какое-то благое дело конвертируют в цифры, люди начинают гнаться за наибольшей (или наименьшей, как в этом случае) цифрой, совершенно не задумываясь о её смысле

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.