npm 的包引用和管理使人感到担忧
发布于 1 个月前 作者 VsterLong 481 次浏览 来自 分享

前提:

  1. 为了追求较快的开发速度, 不会去做自己的包开发
  2. node 基金会为快速扩大 npm 社区规模,对第三方包持有比较开放的态度

问题:

  1. 在我引用第三方包的时候,我无法确认此包是在项目中是最优解。
  2. 无法确认引用的第三方包是相对安全的,不会由 bug 出现重大的安全事故。
  3. 第三方包引用其他第三方包,会出现相同的第 1 和第 2 个问题。
  4. 有时候一个包,会去引用大量的其他包,确实让人感到恐惧。

体会: node 基金会对社区开发者的放权,确实是很好的引导了社区的发展。但相对于社区包数量来说,官方包的数量太少了,针对于第三方包也没有很好的去做管理,对于程序员来说,只考虑如何用包,不去考虑该包会不会导致其他问题,是十分令人担忧的。

6 回复

问题很简单,要么自己造轮子然后以为放心地使用,要么不那么放心地用别人的轮子。和npm有啥关系

来自.net的兄弟?

好吧,那你就自己造轮子啊,没有人能强制要求你使用第三方包吧,再说一些好的包,能大大的提高开发效率,而且测试什么的都做得很不错,我为什不用呢

大部分开源社区不存在严格意义上的“官方”,既然是开源社区,各种常用库都由开发者们贡献,长期以来形成一些优质的库,也有很多很渣的库。选不选一个库除了看start数,下载数以外,还要看库的测试全不全,example写得好不好

回到顶部