行将开播：4月29日，民生银行郭庆谈商业银行金融科技赋能的探求与实际

只要几行代码的库，坑了数百万 JS 项目

上周末，一个 npm 小项目的更新给整个 npm 生态系统制造了一场混乱，影响到了数百万 JS 项目。

这个库就是 is-promise ，仅包含了几行代码，其功用是让开发者测试一个 JS 对象能否是 Promise，其它 JS 项目可经过一行代码调用运用该库。

虽然这个库没几行代码，但它却是最盛行的 npm 包之一，超过 340 万个项目运用。

上周末 is-promised 发布了一个更新，结果由于它不契合正确的 ES 模块标准，招致运用该库的其它项目在构建时出错。成绩并没有招致现有 JS 项目崩溃，而主要无法编译新版本。

许多知名的 JS 项目都遭到影响，其中包括 Facebook 的 Create React App，Google 的 Angular.js 框架，Google 的 Firebasse-tools，亚马逊的 AWS Serverless CLI，Nuxt.js 等等。

难道顺序员连代码都不会写了吗？

npm 生态系统的依赖成绩，早在 2016 年就引发过相似事情，有一个 NPM 库开发者撤回了他的代码（代码并不多，也就几行），招致诸多重量级运用（比如 React 和 Babel）都出成绩了。

四年前，这个事情就引发剧烈讨论。曾有人为此收回疑问：难道顺序员连代码都不会写了吗？

举例来说，有一个叫 isArray 的软件包，事先其一天的下载量有 88 万，2016 年2 月有 1800 万次下载量，它本身就只要一行代码。

NPM 生态系统中的许多开发者，看起来宁愿复用其别人写好的代码而不是本人写。这种做法存在严重的安全隐患，由于一个被普遍运用的软件包存在bug，你的代码也会遭到影响，而你却无法本人去修正。

【编辑引荐】

不停机还能交流代码？6年的 Java顺序员表示不可思议

我操盘了几十万短视频代运营项目，总结了这些实战阅历！

2次转管理失败后，我对项目、团队、矫捷转型的新认知

马斯克的卫星互联网恐成烂尾项目，美国政府和军方都被他骗了？

查阅arXiv论文新神器，一行代码比较版本差别，Github新开源！

(责任编辑：admin)