摘要:是的�,就是這樣的錯很快就發(fā)布了修正。各種擔憂質(zhì)疑指向社區(qū)一直提倡和推動的和理念�����。得救之道�����,就在其中在的里回復(fù)說不要依賴于其他人�,附了關(guān)于的鏈接,并且最后再次強調(diào)依然是合理的哲學����。解除了用戶為你的代碼打包的負擔。
前情提要
今天 npm 圈子雞犬不寧�,原因是一個不過 11 行的工具函數(shù) left-pad 被作者從 npm 上撤下,所有直接和間接依賴它的包就這么齊刷刷掛了��,包括 babel 和 react-native 這樣每天安裝數(shù)萬的熱門項目。
而 Azer 刪除他所有的 npm 包又是另一個故事:Azer 寫了一個工具叫 kik 發(fā)布在 npm 上��,這天有個同名的公司律師找上門要求他刪掉�����,Azer 不從�,這律師就找上 npm,npm 把包的管理權(quán)限轉(zhuǎn)給了這家公司——當然��,Azer 就怒了���,從 npm 上解放了所有自己發(fā)布的包����。
是的��,就是這樣 ╮(╯_╰)╭
small module 的錯��?
babel 很快就發(fā)布了修正��。然而拋開這兩個故事不去討論�,鑒于現(xiàn)在各種組件的依賴樹之深���,這件事暴露出的問題(一直都在��,只是沒有這么痛地領(lǐng)悟過)已經(jīng)讓人無法安心地 npm install 了——更多的項目都不可能像 babel 這樣活躍���,第一時間發(fā)布修正��。
各種擔憂����、質(zhì)疑指向 npm 社區(qū)一直提倡和推動的 small module 和 semver 理念���。這個方向錯了么�����?也有人怪罪 npm unpublish 是萬惡之源�,這么想就有點表面了���。
得救之道�,就在其中
Isaacs 在 left-pad 的 Issue 里回復(fù)說“不要依賴于其他人”��,附了關(guān)于 bundledDependencies 的鏈接�,并且最后再次強調(diào) small module 依然是合理的哲學。
這篇回復(fù)其實比較含糊,甚至看上去有點矛盾����。Rollup 作者講得更明白些,解決之道就一句話:
無論你是否面向瀏覽器�,將所有依賴都打包進最終的發(fā)布代碼。
這么做將使你的項目僅僅在打包的時候依賴那些 dependencies����,一旦發(fā)布完成,就不再需要依賴樹上的所有作者們保持他們的任何承諾�����。這就是 Isaacs 所說:不要依賴于其他 人�。
事實上 Atom 也在受影響之列,但除了 Atom 的開發(fā)者之外���,用戶是沒有感覺的——就這么簡單�����。
此原則除了可以解決這次的 left-pad 災(zāi)難之外,還有成堆的好處�,哪怕每一項都不是殺手級的,這么堆起來也還是很可觀的:
節(jié)省 npm install 的時間。依次去下載整個依賴樹是很耗時間的�����,而且還附帶下載了更多的 README�、package.json 之類。這些磁盤空間也可以省下來了����。
啟動更快。你知道 Nodejs 的 require() 執(zhí)行慢成狗么�?
你的包更加可靠。依賴樹中的 bug 不能靠用戶自行 npm update 來修復(fù)了����,你得自己重新打包發(fā)版本,但是再也不用擔心出 left-pad 這種幺蛾子��,哪個更重要����?
也更加安全。理論上���,npm 托管的那些代碼隨時可能被注入惡意代碼�,比如現(xiàn)在 Azer 撤下來的包,不少已經(jīng)被其他人重新發(fā)布上去����,可是天知道都是誰放了些什么代碼……用戶只不過 npm install 了一下。
解除了用戶為你的代碼打包的負擔����。 負擔其實并不是我們擔心的,只是如果用戶喜歡用 webpack 打包而我們的代碼是 browserify 圈的呢�?PouchDB 就碰上了這種情況。
新的習慣
養(yǎng)成新的習慣�,開始為你發(fā)布的代碼做預(yù)打包吧。bundledDependencies 已經(jīng)等候多時了���。
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/79014.html
