包管理器

2019年，安全研究员 Liran Tal 做了一个实验。他向一个开源项目提交了一个看似普通的 Pull Request，添加了两个依赖包，代码审查一切正常——包名正确、版本有效、没有 typosquatting 痕迹。PR 被合并了。 ...

2016年3月22日，一个名为Azer Koçulu的程序员删除了他在npm上发布的273个包。其中一个叫left-pad的包只有11行代码，功能简单到令人发指——在字符串左侧填充空格。然而，这个微不足道的包被Babel、React、Webpack等数千个项目依赖。几小时内，全球JavaScript开发者的构建流水线开始大规模崩溃，Facebook、PayPal、Netflix、Spotify等公司的开发团队陷入混乱。 ...