一个单行代码 npm 包使得 JavaScript 生态系统陷入混乱

  上周六,一个很小的 JavaScript 库的更新使得大部分 JavaScript 生态系统陷入了混乱。据 ZDNet 指出,大约有数百万个项目在这一事件中受到了影响。 

  而令人感到震惊地是,引起整个混乱的仅仅是一个“单行代码(one-liner) ” 的 JavaScript 库。这也是第二次发生由小型 JavaScript 项目引起广泛问题的情况。第一次是发生在 2016 年 3 月,当时 left-pad JavaScript 库的作者(一个总共只有 17 行代码的项目)突然决定取消发布该库,以类似的方式破坏了数千个项目。

  而上周末导致一系列问题的这个软件包名为 is-promise,该库由两行原始源代码组成,开发人员可以通过单行调用在自己的项目中使用它。其目的是让开发人员测试 JavaScript 对象是否为“Promise”函数:用于生产环境中时,该函数返回 yes 或 no 的布尔值。

  然而,尽管只是两行执行基本检查的代码,is-promise 库仍是当今最受欢迎的 JavaScript npm 软件包(库)之一。根据 GitHub 的说法,该库是超过 340 万个项目的一部分,并被 766 个其他 JavaScript 库用作依赖项。

  上周末,is-promise 库进行了更新,以获取作为 ES 模块(JavaScript 语言使用的标准化模块系统)的支持。但是,is-promise v.2.2.0 版本却未遵循正确的 ES 模块标准。因此更新发布后,由于其不正确的 ES 模块支持 [1, 2, 3, 4, 5, 6, 7, 8, 9, 10] ,在各自的构建链(build chain)中使用 is-promise 的众多项目纷纷开始出现问题。

  该错误迅速地引发了一连串的影响,范围涵盖至封闭源 JavaScript 代码库和 JavaScript 生态系统中一些最大的项目。其中包括有:Facebook 的 Create React App(用于创建 React 应用程序的标准模板)、谷歌的 Angular.js 框架、谷歌的 Firebasse-tools、亚马逊的 AWS Serverless CLI、Nuxt.js 和 AVA 等。

So this just happened.

Is-Promise just made a little change and it broke multiple packages.

So far as I’ve read its broken Firebase-tools, angular cli, aws serveless cli, create react app, possibly more.https://t.co/3ZZofevWNR

— Preet™ @TmPreet) April 25, 2020

  该 bug 并没有导致现有项目崩溃,因此没有出现实际的停运故障,但其确实害得广大开发人员无法编译各自项目的新版本。 

  之后,is-promise 团队发布了一个更新,但并未能解决该问题,最终还是在 v2.2.2 版本中撤回了支持 ES 模块的功能。

  与 2016 年的情况一样,is-promise 事件引发了人们的疑问,大家开始讨论 JavaScript 生态系统中是不是真的需要单行代码库。就像 2016 年以及多年前其他编程语言的生态系统所提出的那样,同样的观点再次被提了出来。

  有人认为,如果开发人员创建的库只有短短几行代码,对于最无关紧要的操作而言,模块化做得过头了,毫无必要。还有人认为,需要对这些项目进行模块化,因为以这种方式,“任务 A”可以在一个模块中进行管理,而不是让成千上万的开发人员在自己的项目中以不同的方式来处理它。

  事实上,有关模块化的讨论已经存在了多年,因此在短期时间内可能也得不出什么结论。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注