Gulp即将滑向Log4j2的深渊

最新推荐文章于 2022-09-15 20:31:49 发布
最新推荐文章于 2022-09-15 20:31:49 发布
阅读量809 收藏
点赞数
分类专栏: 前端 文章标签: gulp 前端 npm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/timcur_f4/article/details/122752157
版权

Gulp
​​

log4shell漏洞暂时平息之际,是时候注意其他类似log4j流行度极广而又非常缺乏维护的包了,在前端十分流行任务运行器gulp就是其中一个值得关注的对象。

查阅一下gulp的release,发现最后一次更新是2019年5月7日发布的v4.0.2,但请注意,从v4.0.0开始这就是一个破坏性的版本,连声明task的方式都发生了变化,task是gulp的基石,这种根基上的修改很难使人愿意对其进行升级,依然有很多人在使用v3.9.1,过去七天内它的下载量仍然高达30万次,在Github是查看这是一个2019年4月22日的版本,这一天gulp在12:56时同时发布了以下版本:

v4.0.1, v3.9.1, v3.9.0, v3.8.11, v3.8.10, v3.8.9, v3.8.8, v3.8.7, v3.8.6, v3.8.5, v3.8.4, v3.8.3, v3.8.1

这是非常糟糕的发布方式,怎么会有人在同一时刻发布这么多版本?这是不可能的,在npm上查一下原来v3.8.1发布于2014年6月18日,但gulp团队在2019才在Github上同步发行了它,这是因为gulp在2019年才开放源代码吗?当然不是,gulp2013年6月4日就建立了gulp,他只是一直无视Github的release,那时候gulp还是用coffeescript编写的,gulp早已全盘抛弃了coffeescript,如今它似乎连自己也要抛弃了。

由于npm设计的非常糟糕,参考npm-audit-broken-by-design,使很多开发人员不想去处理由npm报告的漏洞,很多微不足道的问题被打上criticalhigh的安全问题,他们也许真的写了非常危险的代码,但是这些危险是需要一个入口的,绝大多数情况下,这个入口只存在于幻想之中或是源代码被修改,这让大家都变成了惊弓之鸟。对此开发者们分为两派,一派彻底放弃npm的管理,将依赖包集成到内部,package.json变的干干净净,npm无法扫描到依赖项,由自己把控安全风险,这一派可以称为自信派。另一派则坚持传统,但对安全问题摆烂,禁止社区报告安全漏洞,坚持不修复安全漏洞。gulp就是传统派,即使有人写好了升级项#2630,gulp也拒绝merge,认为这些东西都是nothing的,还会破坏现状,现在安装gulp@v4.0.2,由于愚蠢的glob-parent,npm将报告6个高危漏洞,实际上gulp.src()gulp.watch()都有可能引发漏洞,把漏洞的入口交给了用户,他们说开发人员们应该清楚自己使用了什么路径,但如今时代不同很多路径也都是拼合而来的,gulp也早已进入了许多CI/CD中,gulp不再是一个“第一入口”,也在逐渐成为一个“中间件”,真的有必要保持这么多年的自信吗,升级glob-parent不会让gulp失去什么,只会让它变得健壮。

谈到CI方面,gulp的Appveyor CI失败已经两年多了,github对每次CI失败都会向contributors们发送失败的邮件,gulp的开发人员情愿收两年邮件也不愿意修复这样的错误,当然也可能早已拒收了来自gulp的邮件。令人惊奇的是,这个CI还在尝试在Node 0.10.48这种平台上运行gulp,而所尝试的最新的平台也仅是Node 10.24.1,面对如今的Node 17.4.0,它实在掉队太远太远了,不过也不用怀疑是否有效,Node也是热衷于破坏性更新的,已经有中国的开发者报告在Node 14 support上的问题了(存疑,我同样在Node14.x上跑gulp,watch部分从2020年底到如今都运行良好)。

尽管到目前为止gulp并没有出现较大的安全危机,但最后一次package升级,已经是2019年4月22日的一个commit,所直接或间接依赖的274个module,他们未来的安全性,随着gulp几乎停止的维护令人越来越感到担忧,同时对于平台的支持性,gulp越来越滞后,Node的LTS版本也从14升到了16,gulp还停留在10.x,未来这个项目即使要继续维护,也要经过很多大修大改,在生态方面,很多包还在用gulp早年推出的gulp-util,如今它已经被废弃5年之久,gulp-typescript在使用的ts版本为3.6.3,而现在的ts最新版是4.6.0,即使无力维护对typescript的支持,3.x的版本最新的也应该是3.9.7,gulp-typescript已经停更两年了,UglifyJS发布了v3.15.0,而还在使用v3.0.5的gulp-uglify已经停止更新3年多了,gulplog已经6年没有更新,连gulp自己都放弃了它,宁愿更多的使用console.log这样完全无法控制的东西,这个快速,支持并行的任务运行器还会持续存活吗?还是等来正式的停止维护通知?还是像Log4j2?

Log4j2从2018年3月到高危漏洞事发前夕3年半的时间总计不到1000个commit,比2013年到2018年间任何一年的commit量都要低,当一个基础项目的维护变得缓慢都将引发灾难,那么一个基础项目彻底停止呢?

Log4j2 contributors map

如果Gulp陷入这样的境地,和现在一样持续的无法支持新版node,无法支持新版ts,欠账越累越多,未来使用的人就会越来越少,那一直所依赖gulp构建的项目又将不得不换成与其相似的任务运行器Grunt,而Grunt与Gulp的差异极大,同时Grunt是笨重的,它通常产生临时文件,不像Gulp专注于stream的传输,且不能并行执行,是一种极大的限制,通常情况下Grunt 需要的时间几乎是 Gulp 的两倍,这场向下“升级”又是一场前端的领域的Log4j2式的灾难

_lyrieek
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
gulp_build_3:Gulp 4
02-03
Gulp 4,Версия3的照片 Описаниепроекта: Gulp。СпомощьюэтихфайловвысможетебыстронастроитьсборкувашегопроектанаGulp。 Модули: "browser-sync": Синхронизация кода с результатами в браузере "del": Удаление каталогов и файлов "gulp": Сборщик Gulp "gulp-autoprefixer": Добавляет префиксы в CSS код "gulp-clean-cs
gulp-px2rem:这是node-px2rem的gulp插件
02-02
-px2rem 版本: 1.1.4 这是的Gulp插件。 安装 运行npm install gulp-px2rem 用法 const px2rem = require ( 'gulp-px2rem' ) ; gulp . task ( 'css' , ( ) => { return gulp . src ( 'css/**/*.css' ) . pipe ( px2rem ( ) ) . pipe ( gulp . dest ( 'css' ) ) ; } ) ; 选件 传入两个选项对象。 第一个用于选项,第二个用于选项。 const px2rem = require ( 'gulp-px2rem' ) ; const px2remOptions = { replace : false } ; const postCssOptions = { map : true } ; gulp . task ( 'css' , ( ) => { return gulp . src ( 'css/**/*.css' ) . pipe ( px2rem (
koa2+bootstrap-sass+gulp空框架
06-04
整合了koa2+bootstrap-sass+gulp+ejs,顺便引入了一个1.11版的jquery.解压缩后请在项目根目录执行npm install.使用项目自带的gulpfile可以正确编译项目里集成的bootstrap-sass,可以自动压缩src目录下的js,css,sass和ejs模板等文件,压缩后的文件存储在dist目录下.dist目录是生产环境文件目录.项目入口文件是bin/www.这是一个干净koa2框架扩展,同时整合了比较新潮的插件,适合用来作练习.
plugin-log:gulp插件的旧记录-gulp-util.log
05-07
插件日志 gulp插件的旧记录-gulp-util.log 信息 包裹 插件日志 描述 gulp插件的旧记录-gulp-util.log 节点版本 > = 0.9 用法 替换所有gulp-util.log() 安装 $ npm install --save-dev plugin-log 例子 var log = require ( 'plugin-log' ) ; log ( 'Ran file: ' + log . colors . cyan ( path . basename ( file . path ) ) ) ; 许可
gulp-file-log:gulp通过console.log记录其内容的日志文件
05-14
gulp文件日志 gulp通过console.log记录其内容的日志文件 用法 var gulp = require('gulp'); var fileLog = require('gulp-file-log'); var concat = require('gulp-concat'); var buffer = require('vinyl-buffer'); gulp.task('concat', function() { return gulp.src('src/*.js') .pipe(fileLog()) .pipe(concat('concat.js')) .pipe(gulp.dest('dest')); }); 在串联文件之前,将导致src目录中文件的内容。
gulp使用经验谈…各种坑
kaosini的专栏
01-29 5790
为何要用构建工具? 一句话:自动化。对于需要反复重复的任务,例如压缩(minification)、编译、单元测试、linting等,自动化工具可以减轻你的劳动,简化你的工作。当你正确配置好了任务,任务运行器就会自动帮你或你的小组完成大部分无聊的工作。 上面这段话摘自grunt官网翻译,解释了为何要使用grunt这类自动化构建工具。其实很早以前类似的工具就有了,java、php版都有,当
typescript-logging:用于TypeScript和JavaScript的TypeScript日志记录库
04-30
TypeScript日志记录(typescript日志记录) 用于记录的TypeScript库。 使用简单灵活。 该库是用TypeScript编写的,因此可以轻松地与其他TypeScript项目集成。 支持两种样式(可以使用一种,也可以两种都使用): 日志记录的类别样式 Log4j日志记录样式 可以同时在浏览器和节点中运行 Api通过(浏览器)开发人员控制台在运行时控制(控制台)日志记录。 支持单独的chrome浏览器开发人员扩展,该扩展程序使您可以在运行时通过chrome开发人员扩展来控制日志记录。 有关详细信息,请参见: javascript捆绑包与es5兼容。 以下文档部分可用: 笔记: 版本0.6.0删除了一些先前不推荐使用的方法,请查看更改日志以了解哪些内容 与angular-cli 6.0.0+结合使用的构建可能会失败,有关变通方法,请参阅 ,此问题已在以后的an
Log4j详细配置
eric_za的专栏
12-17 674
一、Log4j简介 Log4j有三个主要的组件:Loggers(记录器),Appenders (输出源)和Layouts(布局)。这里可简单理解为日志类别,日志要输出的地方和日志以何种形式输出。综合使用这三个组件可以轻松地记录信息的类型和级别,并可以在运行时控制日志输出的样式和位置。 1、Loggers Loggers组件在此系统中被分为五个级别:DEBUG、INFO
Log4J的使用
weixin_30307267的博客
08-28 70
导jar包:log4j-1.2.16.jar Log4JTest.java package cn.itcast.log4j; import org.apache.log4j.BasicConfigurator; import org.apache.log4j.Level; import org.apache.log4j.Logger; /** * 测试log4j 使用 ...
log4j自定义日志
我!不一样的烟火
09-10 2380
引言 概述 内容 总结
retire.js:扫描程序检测已知漏洞JavaScript库的使用
01-30
Retire.js 您所需要的还必须退休 在Web上以及在那里的Node.JS应用程序中都有大量JavaScript库。 这极大地简化了开发,但是我们需要保持最新的安全修补程序。 现在,“使用具有已知漏洞的组件”已成为安全风险列表的一部分,不安全的库可能给您的Web应用带来巨大的风险。 Retire.js的目标是帮助您检测具有已知漏洞的JS库版本的使用。 Retire.js可以通过多种方式使用: 命令行扫描仪 扫描Web应用程序或节点应用程序以使用易受攻击JavaScript库和/或Node.JS模块。 在应用程序文件夹的源代码文件夹中运行: $ npm install -g retire $ retire Grunt插件 在应用程序的构建例程或某些其他自动化工作流程中 。 Gulp任务 一个Gulp任务的示例,可以在gulpfile中使用它来自动监视和扫描项目文件。 您可以根据需要修改监视模式和(可选)Retire.js选项。 const c = require ( 'ansi-colors' ) ; var gulp = require ( 'gulp' ) ; var be
gulp前端自动化构建工具(一):工具介绍和使用
Franks.T.D
10-08 3096
本工具基础gulp自动化工具构建,可适用于整个前端开发时间线,使用时较简单,在配置完后输入自定义命令即可使用本工具。
快速掌握Gulp自动化构建工具
老司机的后备箱
09-15 757
Gulp是一个自动化构建工具,类似Webpack,目的是把开发环境的代码转换为生产环境的代码,比如ES6转ES5、Saas转CSS、文件压缩等。Gulp的整体设计思路是通过文件读写和一系列Stream插件实现文件内容处理,完成构建工作。完整的构建工作可以拆分为多个构建步骤,每一个构建步骤称之为任务,一个大型的项目构建由多个任务组合完成。
六、Webpack详解学习笔记——webpack的安装、起步、配置、loader的使用、webpack中配置Vue、plugin的使用、搭建本地服务器、webpack配置的分离
zep
01-26 483
一、认识webpack 什么是webpack? 这个webpack还真不是一两句话可以说清楚的。 我们先看看官方的解释: At its core, webpack is a static module bundler for modern JavaScript applications. 从本质上来讲,webpack是一个现代的JavaScript应用的静态模块打包工具。 但是它是什么呢?用概念解释概念,还是不清晰。 我们从两个点来解释上面这句话:模块 和 打包 前端模块化: 在前面学习中,我已
一篇迟到的gulp文章,代码合并压缩,less编译
angyangan9569的博客
05-05 317
前言 这篇文章本应该在去年17年写的,但因为种种原因没有写,其实主要是因为懒(捂脸)。gulp出来的时间已经很早了,16年的时候还很流行,到17年就被webpack 碾压下去了,不过由于本人接触gulp的时候比较晚,16年的时候才听说有这么个玩意,正真用它是在17年的时候,但是虽然现在webpack已经大行其道,我们每个人都 在积极去拥抱它,不过gulp在现在来说也并不是一无是处,还是有...
angularjs html压缩,Angular.js项目中使用gulp实现自动化构建以及压缩打包详解
weixin_27017211的博客
06-04 436
Angular.js项目中使用gulp实现自动化构建以及压缩打包详解发布时间:2020-10-02 01:30:13来源:脚本之家阅读:142作者:leason-lovegulp介绍基于流的前端自动化构建工具,利用gulp可以提高前端开发效率,特别是在前后端分离的项目中。使用gulp能完成以下任务:压缩html、css和js编译less或sass等压缩图片启动本地静态服务器其他目标一键安装项目所有...
TypeScript打印日志
icebergliu1234的博客
11-29 6708
console.log("NativeScript Playground!"); console.log({ objProp: "I am Object!" }); console.info("NativeScript Rocks!"); console.warn("Low memory"); console.error("Uncaught Application Exception");...
浅谈Log4jLog4j2的区别
天行健,君子以自强不息;地势坤,君子以厚德载物。
05-25 319
1、配置文件类型log4j是通过一个.properties的文件作为主配置文件的,而现在的log4j 2则已经弃用了这种方式,采用的是.xml,.json或者.jsn这...
Log4j下载+简单实用Demo教程
热门推荐
DRD
06-18 1万+
1. 官网下载log4j地址:http://logging.apache.org/下载的文件:apache-log4j-2.11.0-bin.zip 2. 解压apache-log4j-2.11.0-bin.zip得到log4j-api-2.11.0.jar和log4j-core-2.11.0.jar;3. Eclipse新建java project,工程名为LoggerExample4. 使用 ...
gulp怎么向页面中写入一个变量
最新发布
06-10
在使用gulp构建工具时,我们可以使用gulp-template插件来向页面中写入一个变量。首先需要安装gulp-template插件: ``` npm install gulp-template --save-dev ``` 然后在gulpfile.js文件中引入插件: ```javascript const template = require('gulp-template'); ``` 接着,我们可以使用gulp-template插件来向页面中写入一个变量。例如,我们要把一个名为title的变量插入到index.html文件中: ```javascript gulp.task('template', function() { return gulp.src('src/index.html') .pipe(template({ title: 'Hello World!' })) .pipe(gulp.dest('dist')); }); ``` 这样,我们就可以在index.html中使用这个变量了: ```html <!DOCTYPE html> <html> <head> <title><%= title %></title> </head> <body> <h1>Welcome to my website</h1> </body> </html> ``` 在页面中使用<%= title %>语法可以输出我们传递进来的变量值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值