AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

两行代码险些搞垮 JavaScript 生态,受影响项目超百万

  • 2020-04-29
  • 本文字数:1282 字

    阅读完需:约 4 分钟

两行代码险些搞垮 JavaScript 生态,受影响项目超百万

4 月 25 日,一个名为 is-promise 的 npm 库进行了更新并发布了 v2.2.0 版本,没想到这一次更新却使 JavaScript 生态陷入危机,据媒体报道,目前已有数百万个项目受到了影响,而事件的始作俑者竟是一个仅仅“单行”的 JavaScript 库。

事件回顾

is-promise 库主要用来测试 JavaScript 对象是否为“Promise”,并在开发时使用该函数返回布尔值 yes 或 no,开发者可以通过 one-liner 调用并在自己的项目中使用这个库。4 月 25 日,is-promise 正常进行更新,发布了 is-promise v2.2.0,但由于该版本并未遵循正确的 ES 模块标准,从而导致更新完成后,由于不正确的 ES 模块标准,所有在构建时使用 is-promise 库的项目几乎全部发生故障。虽然这一错误不会使现有项目崩溃,但它却对开发者编译自己项目的新版本造成了影响。


来看一下“肇事者”:


declare function isPromise<T, S>(obj: Promise<T> | S): obj is Promise<T>;export default isPromise;
复制代码


虽然这个问题立即就被发现了,但仍影响到了一些 JavaScript 生态系统中的“大项目”,其中包括 Facebook 的 Create App,三大框架之一的 Angular,Google 的 Firebase 工具,亚马逊的 AWS Serverless CLI,Nuxt.js,AVA 等等。很多开发者都表示受到了影响:


https://github.com/then/is-promise/issues/13


GitHub 上显示,与该库有依赖关系的项目超过 340 万个。



该团队在第一时间发布了 is-promise v2.2.1 更新,但是并未能解决问题,最终在几个小时后发布的 is-promise v2.2.2 中修正了 ES 模块支持的问题,这一“紧急事件”才落下帷幕。

并非第一起事故

仅仅两行代码就造成了这么大的影响,实际上这并不是第一次发生。早在 2016 年 3 月,一个名为 left-pad 且仅有 17 行代码的 npm 库也曾引发过一起事故,起因是这个库的作者创建了一个 npm 模块并命名为 kik,这个名字与当时的一个聊天软件 Kik 如出一辙,所以 Kik 的负责人找到该作者并希望他换一个名字,结果双方并没有谈妥,该作者一气之下突然决定取消发布所有的库,导致无数项目出现事故。


与 2016 年一样,“is-promise 事件”引发了一众开发者的疑问:是否需要在 JavaScript 生态中提供 one-liner 库?JavaScript 模块化究竟是否必需?

JavaScript 模块化

一部分开发者认为,当开发人员创建这种只有几行代码的库时,模块化实在是过于繁琐;而另一部分开发者则认为,模块化十分有必要,某一个任务可以在其对应的模块内统一管理,而不是让开发者以不同的方式在自己的项目中处理。


对于一个复杂的 Web 应用来说,模块化编程显然是一个更具优势的选择,很多 JavaScript 库都是这样实现的。在 ES6 之前,很多前端社区曾自己钻研模块化开发,经历了 AMD/CMD/UMD 等阶段,这里不过多赘述。ES6 中首次引入模块化开发规范,让 Javascript 首次支持原生模块化开发,从此,JavaScript 模块化被越来越多的开发者接受。


JavaScript 模块化也说明了 Web 的能力在不断增强,Web 应用日趋复杂。相信未来 JavaScript 的能力会继续提升,前端开发者们的开发效率也会更加高效。

延伸阅读

https://www.zdnet.com/article/another-one-line-npm-package-breaks-the-javascript-ecosystem/


2020-04-29 11:304375
用户头像
李俊辰 InfoQ编辑

发布了 228 篇内容, 共 87.5 次阅读, 收获喜欢 274 次。

关注

评论 2 条评论

发布
用户头像
看不懂 这不是ts的声明文件写法么?问题是啥?
2020-05-03 16:28
回复
用户头像
两行的话,还是放项目内吧,何必呢。依赖越多,越脆弱
2020-04-29 16:41
回复
没有更多了
发现更多内容

哈尔滨等保:保护企业终端数据

黑龙江陆陆信息测评部

JVM 调优不再难:AI 工具自动生成内存优化方案

飞算JavaAI开发助手

功能齐全的Mac用户必备FTP客户端:ForkLift

Rose

VM虚拟机Mac版安装下载 VMware Fusion Pro 13 密钥分享

Rose

电商系统开发:基于飞算JavaAI的分布式事务解决方案自动化实践

飞算JavaAI开发助手

如何使用通义灵码辅助开发微信小游戏

阿里云云效

如何高效使用 Text to SQL 提升数据分析效率?四个关键应用场景解析

镜舟科技

数据湖 数据分析 分析型数据库 StarRocks Text to SQL

Kube-Proxy 可观测性最佳实践

观测云

Kubernetes

sublime text 4如何汉化?sublime text 中文设置教程

Rose

Spring Boot整合难点?AI一键生成全流程解决方案

飞算JavaAI开发助手

《Operating System Concepts》阅读笔记:p667-p699

codists

操作系统

macOS Big Sur 11(macOS11系统)v11.7.10正式版

Rose

直播预告 | KWDB 数据库安装使用快速上手

KaiwuDB

数据库 直播

DeepSeek Function Calling调用实践

AI时代的一滴水

Python LLM模型 Function Calling DeepSeek v3

数据库管理开发工具Navicat for MySQL汉化版

Rose

如何使用通义灵码辅助开发微信小游戏

阿里巴巴云原生

【活动预告】4.19 相约上海,详解数据库与 AI 的理念融合

Apache IoTDB

KWDB 开源社区走进重庆大学

KaiwuDB

数据库 kwdb数据库 校园行

从开发者视角解读 Google Cloud Next 25

声网

复杂权限管理系统开发难?看AI如何生成RBAC完整代码

飞算JavaAI开发助手

音乐创作工具 Ableton Live 12许可证

Rose

AI智上 | 财务数智化乘风启航,企业转型建设正当时!

用友智能财务

AI 财务 数智化

高级数学及符号运算 Wolfram Mathematica for Mac 中文激活教程

Rose

前端热更新:无声革新浪潮重塑中国互联网格局

xuyinyin

与AI深度融合的Go开发框架sponge,解决使用cursor、trae等AI辅助编程工具开发项目时的部分痛点

vison

golang 代码生成 AI助手

AI人像修饰的革命性工具Aperty for mac

Rose

Flutter 与 uni-app 的深度对比:鸿蒙开发的最佳选择竟是原生开发

坚果

鸿蒙 HarmonyOS

没有专业IT团队?灯塔低代码平台让中小企业自己当"开发者"

中烟创新

Mac数据恢复软件 Magoshare Data Recovery v4.5

Rose

阿里云 MSE Nacos 发布全新“安全防护”模块,简化安全配置,提升数据保护

阿里巴巴云原生

阿里云 云原生 nacos MSE

Premiere Pro 2025(PR2025)激活补丁及安装教程

Rose

两行代码险些搞垮 JavaScript 生态,受影响项目超百万_大前端_李俊辰_InfoQ精选文章