查看原文

NPM 社区曾经出过一个很大的事故：一个人因为商标原因撤下了自己写的几十个包，其中一个包只有一行源代码却是无数 nodejs 项目的依赖。当时各大厂的项目的构建都因此挂了。例如一个项目有四十个 NPM 包，包还依赖别的包，解析后会有上千个包。事故中的那个包只有一行代码，但却需要下载好几K的数据，包括了证书，元信息等等。上千个包下载到本地需要不少时间，也需要不少硬盘空间。这个事故还引出的问题是代码依赖过多引来了非常多的法务风险（证书）和安全/审计风险。万一作者在包里面暗戳戳地加了后门呢？万一作者帐号被黑客盗走了呢？万一作者的 Key 不小心泄漏了呢？其实像一些简单的工具函数，简单的 Copy/Paste 才是更经济的选择。