Деструктивный пакет everything напомнил об уязвимостях реестра npm

Пакетный менеджер npm попал в неприятную историю, которая снова возродила споры о принципах работы реестра с микрозависимостями для JavaScript (и Node.js). Критики утверждают, что уровень зависимостей в npm слишком большой. Многие помнят историю 2016 года с микромодулем left-pad из нескольких строчек кода , которые реализуют примитивную функцию вставки пробелов в левой части строк. Он был установлен в качестве зависимости в React, Babel и других пакетах. Автор и мейнтейнер left-pad решил в знак протеста отозвать его , что вызвало массовый сбой в работе веб-сайтов . После этого компания npm Inc. запретила авторам отзывать свои пакеты без разрешения администрации. Сейчас мы наблюдаем в каком-то смысле продолжение этой истории.

https://habr.com/ru/companies/globalsign/articles/804277/

#npm #менеджер_пакетов #everything #JavaScript #Nodejs #зависимости #leftpad #троллинг #Skyrim #микромодули #DoS