Исходное сообщение
"В популярный NPM-модуль внедрено вредоносное ПО, копирующее ..." Отправлено Аноним, 13-Июл-18 21:36
Ну я вообще подразумевал системные репозитории в которых есть дополнительный слой из мантейнеров, которые в лучшем случае всё досконально протестируют, в худшем хотя бы не пропустят откровенный шлак в виде какого-нибудь майнера. Кроме того, там обеспечивается предсказуемость и повторяемость сборок и проверяется целостность пакетов. Когда я делаю pkg install, мне не может прилететь свежачок с поломанной совместимостью выпущенный секунду назад, и мне не может по дороге провайдер в него подложить трояна. Мне прилетит либо то что проверил мантейнер и я лично проверил на тестовой машине, либо ничего. Питон, perl, php так замечательно живут испокон веков (басенки о несовместимостях и необходимости в pip и virtualenv оставлю дурачкам). А сейчас я вижу что и новоязы, несмотря на чудесность и полную самодостаточность их хайповых пакетных менеджеров появляются в виде системных пакетов: https://repology.org/metapackages/?search=rust%3A https://repology.org/metapackages/?search=go%3A У JS-макак свой мир, конечно - в нормальной экосистеме модуль из одной строки никогда бы не стали использовать, да он бы и не появился. Но даже их это касается: https://repology.org/metapackages/?search=node%3A > Решение давно известно - поднять свой npm-репозиторий И когда в каком-то модуле найдут проблемы, у вас он никогда не обновится, знаем-знаем.