NPM 已成为世界上最大的包管理器

(点击上方蓝字,可快速关注我们)

来源:Solidot,

http://www.solidot.org/story?sid=51086

Node.js项目的NPM是世界上最大的包管理器,登记了超过35万软件包,是排名第二的Apache Maven的两倍以上。

用户在四周时间里从NPM安装了180亿个软件包,但记录的下载次数只有60亿次,原因是三分之二的安装来自缓存。

每周大约有160名开发者首次在NPM发表软件包,Node.js的 Ashley Williams 预测2017年这一数字将达到平均每周200人。

0?wx_fmt=png

NPM包管理器中有大量广泛使用但只有几行代码的模块,去年3月,一名开发者撤回了他的软件,结果导致很多依赖这几行代码的重量级项目出现问题。

一位NPM模块的开发者撤回了他的代码,导致了多个重量级项目(如React和Babel)出现问题。然而对软件代码本身的分析却发现,这个被许多项目使用的模块就包含几行代码,进一步研究发现,NPM包管理器中有大量类似的被广泛使用但只有几行代码的模块。

有人为此发出疑问:程序员连代码都不会写了吗?举例来说,一个叫isArray的软件包一天的下载量有88万,2016年2月有1800万次下载量,它本身就一行代码。

NPM生态系统中的许多开发者看起来宁愿复用其他人写好的代码而不是自己写。这种做法存在严重的安全隐患,因为一个被广泛使用的软件包存在bug,你的代码也会受到影响,而你却无法自己去修正。

为了阻止类似的问题再次发生,NPM制定新的政策,只允许发表24小时的新项目撤回,而如果开发者想要放弃一个项目他们可以将其标记为“不再维护”,但软件包仍然会留在仓库内。

觉得这条资讯有帮助?请转发给更多人

关注 技术最前线 看 IT 要闻

640?wx_fmt=png

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值