EL
А, понял. Это чисто для любителей ковырять package-lock вручную.
Для энтузиастов и пет-проджектов. Не представляю, чтобы в крупной компании что-то обновляли автоматически, без аудита безопасников
Size: a a a
2020 May 26
AI
Для энтузиастов и пет-проджектов. Не представляю, чтобы в крупной компании что-то обновляли автоматически, без аудита безопасников
В крупной компании ставят npm proxy
EL
В крупной компании ставят npm proxy
Это костыль
AR
Никакого автоматизированного обновления версий быть не должно
Я имел в виду «кампуктер, сделай мне апдейт и чайку плес», а не «чат, я создал таски в джире, будем урл лодаша постепенно обновлять по проекту, потому что уже кто-то разные версии подключил месяц назад»
AI
Это костыль
Ну вроде как рабочее решение.
Абсолютно также делают и жависты с зеркалами mvn.
Тем более отключение "автоапдейта" никак не поможет безопасникам ревьюить. Так что ваши аргументы, сударь, не аргументы.
Абсолютно также делают и жависты с зеркалами mvn.
Тем более отключение "автоапдейта" никак не поможет безопасникам ревьюить. Так что ваши аргументы, сударь, не аргументы.
JF
Я вроде как скидывал ссылку на комманду которая жестко лочит версии
AI
Я вроде как скидывал ссылку на комманду которая жестко лочит версии
Да тут он агрится не на это. А типо "НИКАКОГО АФТААПДЕЙТА"
JF
Про которую давно все забыли или не хотят видеть :)
EL
Ну вроде как рабочее решение.
Абсолютно также делают и жависты с зеркалами mvn.
Тем более отключение "автоапдейта" никак не поможет безопасникам ревьюить. Так что ваши аргументы, сударь, не аргументы.
Абсолютно также делают и жависты с зеркалами mvn.
Тем более отключение "автоапдейта" никак не поможет безопасникам ревьюить. Так что ваши аргументы, сударь, не аргументы.
> Тем более отключение "автоапдейта" никак не поможет безопасникам ревьюить
Не понял. Если всё проревьюено и новому взяться неоткуда, то в чём вопрос-то?
Не понял. Если всё проревьюено и новому взяться неоткуда, то в чём вопрос-то?
EL
Про которую давно все забыли или не хотят видеть :)
К сожалению, разработка софта катится по наклонной, потому что разработчики — хипстеры, желающие, чтобы кампуктер всё делал за них, а им бы только кнопочки тыкать :)
AI
> Тем более отключение "автоапдейта" никак не поможет безопасникам ревьюить
Не понял. Если всё проревьюено и новому взяться неоткуда, то в чём вопрос-то?
Не понял. Если всё проревьюено и новому взяться неоткуда, то в чём вопрос-то?
Ну взял Джун и обновил один пакет. Все. Интернет то есть, доступ во вне есть.
AR
К сожалению, разработка софта катится по наклонной, потому что разработчики — хипстеры, желающие, чтобы кампуктер всё делал за них, а им бы только кнопочки тыкать :)
Один ты старожил и знаешь как не костылить?)
EL
Ну взял Джун и обновил один пакет. Все. Интернет то есть, доступ во вне есть.
А CI на что? А код-ревью? Это невозможно в крупной компании
EL
Один ты старожил и знаешь как не костылить?)
Ну я знаю, что автообновлять ничего не нужно без разбору, тут семи пядей быть не надо
AI
А CI на что? А код-ревью? Это невозможно в крупной компании
Ну тогда в чем проблема npm ci?
EL
Ну тогда в чем проблема npm ci?
Ни в чём. Я говорю, что ПО УМОЛЧАНИЮ должно не быть автоапдейтов
EL
И может быть где-то глубоко может прятаться флаг для автоапдейта. Но только для очень отважных ребят
AI
Ну я знаю, что автообновлять ничего не нужно без разбору, тут семи пядей быть не надо
Нуу так юзайте ПО УМОЛЧАНИЮ npm ci
EL
Нуу так юзайте ПО УМОЛЧАНИЮ npm ci
Ты, кажется, не понимаешь. Нельзя возлагать на людей надежды. Люди ошибаются. Машины должны контролировать всё.
AR
Ну тогда в чем проблема npm ci?
Про него могут не знать тиммейты