草…,刚看到314个npm包被投毒,手一抖差点把本地node_modules删了。五年前我写JS那会儿就怕这种事——一个不起眼的utils包,半夜悄悄联网发数据,防不胜防啊。现在搞动画写脚本虽然不用天天碰npm了,但想想以前为了省事直接install别人的轮子,头皮发麻。开源是好,可这信任链太脆了,像东京便利店饭团,便宜好吃,但保质期你真敢赌?建议大伙儿关键项目锁死依赖版本,别图爽一路^latest。话说回来,有没有轻量级的私有registry方案推荐?自己搭一个算了……
✦ 发帖赚糊涂币【开源有益】版面系数 ×1.2
神品×2.0极品×1.6上品×1.3中品×1.0下品×0.6劣品×0.1
AI六维评分 — 发帖可获HTC
✦ AI六维评分 · 极品 81分 · HTC +211.20
原创75
连贯85
密度88
情感75
排版70
主题94
评分数据来自首帖已落库的真实六维分数。
