這個(gè)空的 NPM 包竟然超過(guò) 80萬(wàn)次下載?。。?/h1>

前端壹棧

關(guān)注

共 1117字，需瀏覽 3分鐘

 ·

2021-09-05 16:48

?

讓我告訴你這個(gè)不起眼的包，它在過(guò)去一年中產(chǎn)生了超過(guò) 80 萬(wàn)的下載量。

?

這個(gè)npm包是-

我們?cè)?code style="margin-right: 2px;margin-left: 2px;font-family: "Operator Mono", Consolas, Monaco, Menlo, monospace;word-break: break-all;color: rgb(53, 148, 247);background: rgba(59, 170, 250, 0.1);padding-right: 2px;padding-left: 2px;border-radius: 2px;height: 21px;line-height: 22px;">Runkit嘗試打印出它導(dǎo)出的模塊，返回的是null,這個(gè)npm包就是一個(gè)赤裸裸的空包

為什么需要下載它？

?

令人難以置信的是，人們實(shí)際上正在下載這個(gè)包。并且每個(gè)月的下載量都在增加。下圖說(shuō)明了自軟件包在 npm 上發(fā)布以來(lái)的下載次數(shù)。

?

但是，如果這讓您感到驚訝，請(qǐng)等到我告訴你更瘋狂的部分。它被用作超過(guò) 60個(gè)npm包的依賴(lài)項(xiàng)。

我們隨便打開(kāi)一個(gè)依賴(lài)-包的倉(cāng)庫(kù)，以black-ts為例子

這個(gè)-包安靜的躺在dependencies依賴(lài)項(xiàng)，而且還是dependencies!!!，突然覺(jué)得后背發(fā)涼

如果我告訴你，你也將它下載到你的項(xiàng)目中呢？它發(fā)生在你甚至不知道的情況下。也許它正靜靜地坐在你的package.json現(xiàn)在。而你對(duì)此一無(wú)所知。也許你是 800,000 人中的一員，不信你可以檢查一下

?

那么我們?yōu)槭裁磿?huì)安裝它呢？

?

我們都知道為了安裝npm包，我們需要運(yùn)行以下命令之一。但是，我們寫(xiě)的命令有很多種變體，但不一定都是對(duì)的。

npm i package
# or
npm install --save package
# or 
npm i -g package

有時(shí)您過(guò)早按下空格鍵，有時(shí)您忘記了一個(gè)字母。或者，如果你像我一樣，有時(shí)最終會(huì)寫(xiě)出完全不同的東西。關(guān)鍵是，很容易打錯(cuò)字。注意-和g的間距

npm i - g package  // ?

也就是作者發(fā)現(xiàn)了我們這種行為方式，專(zhuān)門(mén)搞了這個(gè)-包，真是個(gè)鬼才最后作者Dmitry澄清說(shuō)，雖然該軟件包目前沒(méi)有做任何事情，但他計(jì)劃擴(kuò)展它，當(dāng)人們?cè)噲D意外安裝它時(shí)拋出錯(cuò)誤消息。雖然這聽(tīng)起來(lái)毫無(wú)意義，但它最終可以為您節(jié)省1kb的包大小。

為什么-包可能是危險(xiǎn)的？

雖然-現(xiàn)在沒(méi)有危險(xiǎn)，但如果你的項(xiàng)目中不小心安裝到它，然后發(fā)布到生產(chǎn)，一旦存在安全漏洞，你的用戶(hù)數(shù)據(jù)等等都會(huì)被竊取，妥妥的事故

所以一般公司都會(huì)配套代碼檢測(cè)工具等安全掃描工具，可以把關(guān)項(xiàng)目的安全，但是作為開(kāi)發(fā)還是要提高自己的素養(yǎng)

參考文獻(xiàn)

• https://www.npmjs.com/package/-
• https://www.npmjs.com/package/black-ts

瀏覽 49

點(diǎn)贊

評(píng)論

收藏

分享

手機(jī)掃一掃分享

分享

舉報(bào)