EL
Никаких «последняя минорная версия этого пакета» быть не должно
Size: a a a
2020 May 26
EL
Можно, конечно, пока не окончен npm audit (или любая другая команда для проведения ручного апрува каждой зависимости), ставить какой-то флаг в package-lock.json, что эта зависимость не проверена, и выводить кучу лютых алертов при каждом npm install, но в прод такое точно не должно уйти вообще никак
EL
Изначальная идея с «ставить последнюю минорную версию версию автоматически без каких-либо проверок» слишком уж хиппи в мире, где есть зловреды
AI
Если есть package-lock.json, естественно, должно скачиваться ТОЛЬКО то, что там есть и проверено
Npm ci для этого придумали
AR
Никаких «последняя минорная версия этого пакета» быть не должно
Автоматическая установка последних патчей мне не раз помогла пофиксить баг в зависимости без последующего ожидания новой версии от каждой следующей зависимости вверх по цепочке
AI
А ещё safe-exact
EL
Npm ci для этого придумали
Это всё какие-то костыли. Это должно быть поведением по умолчанию
EL
Автоматическая установка последних патчей мне не раз помогла пофиксить баг в зависимости без последующего ожидания новой версии от каждой следующей зависимости вверх по цепочке
Любая «автоматическая установка» — это полнейшая дыра безопасности. Этого не может происходить в мире разработки софта
AI
Это всё какие-то костыли. Это должно быть поведением по умолчанию
Ну тогда юзай ci, нет костылей
AI
Все же норм
AI
А хочешь апдейт - npm i
AI
EL
Ну хз, я пока не могу представить как делать dedupe и автоматизированное обновление версий
Ну изначально вопрос был о этом)
EL
Никакого автоматизированного обновления версий быть не должно
EL
Это не айфон
AI
Никакого автоматизированного обновления версий быть не должно
Дык это же функция для этого, лол.
Хочешь чтобы не обновляло - использую специальную команду. Это как обвинять то что 'ls -la" выводит информацию по пермишенам.
Хочешь чтобы не обновляло - использую специальную команду. Это как обвинять то что 'ls -la" выводит информацию по пермишенам.
EL
Дык это же функция для этого, лол.
Хочешь чтобы не обновляло - использую специальную команду. Это как обвинять то что 'ls -la" выводит информацию по пермишенам.
Хочешь чтобы не обновляло - использую специальную команду. Это как обвинять то что 'ls -la" выводит информацию по пермишенам.
Функции такой быть не должно. Или должна быть где-то очень глубоко за несколькими флагами и алертами
AI
А, понял. Это чисто для любителей ковырять package-lock вручную.
AI
Функции такой быть не должно. Или должна быть где-то очень глубоко за несколькими флагами и алертами
Ваще спорное утверждение. Кто сказал что это нужно?)