上周六,一个很小的 JavaScript 库的更新使得大部分 JavaScript 生态系统陷入了混乱。据 ZDNet 指出,大约有数百万个项目在这一事件中受到了影响。
而令人感到震惊地是,引起整个混乱的仅仅是一个“单行代码(one-liner) ” 的 JavaScript 库。这也是第二次发生由小型 JavaScript 项目引起广泛问题的情况。第一次是发生在 2016 年 3 月,当时 left-pad JavaScript 库的作者(一个总共只有 17 行代码的项目)突然决定取消发布该库,以类似的方式破坏了数千个项目。
而上周末导致一系列问题的这个软件包名为 is-promise,该库由两行原始源代码组成,开发人员可以通过单行调用在自己的项目中使用它。其目的是让开发人员测试 JavaScript 对象是否为“Promise”函数:用于生产环境中时,该函数返回 yes 或 no 的布尔值。
然而,尽管只是两行执行基本检查的代码,is-promise 库仍是当今最受欢迎的 JavaScript npm 软件包(库)之一。根据 GitHub 的说法,该库是超过 340 万个项目的一部分,并被 766 个其他 JavaScript 库用作依赖项。
上周末,is-promise 库进行了更新,以获取作为 ES 模块(JavaScript 语言使用的标准化模块系统)的支持。但是,is-promise v.2.2.0 版本却未遵循正确的 ES 模块标准。因此更新发布后,由于其不正确的 ES 模块支持 [1, 2, 3, 4, 5, 6, 7, 8, 9, 10] ,在各自的构建链(build chain)中使用 is-promise 的众多项目纷纷开始出现问题。
该错误迅速地引发了一连串的影响,范围涵盖至封闭源 JavaScript 代码库和 JavaScript 生态系统中一些最大的项目。其中包括有:Facebook 的 Create React App(用于创建 React 应用程序的标准模板)、谷歌的 Angular.js 框架、谷歌的 Firebasse-tools、亚马逊的 AWS Serverless CLI、Nuxt.js 和 AVA 等。
转载请注明:XAMPP中文组官网 » is-promise 库仍是当今最受欢迎的 JavaScript npm 软件包(库)之一