对很不起眼的“is-promise”库进行的更新居然影响了数百万个JavaScript项目。
周六,对一个很不起眼的JavaScript库进行的更新使JavaScript生态系统的大部分陷入了混乱状态,据称数百万个项目因此受到了影响。
整件事情荒唐可笑的地方在于,整个乱摊子是“单行代码”(one-liner)的JavaScript库造成的,这已经是一个小小的JavaScript项目第二次造成影响广泛的大问题了。
is-promise单行代码项目
上周周末导致一系列问题的那个软件包名为is-promise。该库含有两行原始源代码,开发人员可以通过单行调用在自己的项目中使用它。
其目的是让开发人员可以测试JavaScript对象是不是“Promise”函数:用于生产环境中时,该函数返回yes或no的布尔值。
尽管is-promise库只不过是执行基本检查的两行代码,它却是如今最受欢迎的JavaScript npm软件包(库)之一。据GitHub声称,该库是340多万个项目的一部分,并且被另外766个JavaScript库用作依赖项。
上上周末,is-promise库进行了更新,以便支持可以作为ES模块来使用的功能——这是JavaScript语言使用的标准化模块系统。
然而,is-promise v.2.2.0版本并没有遵循应有的ES模块标准。更新一发布出去,由于不正确的ES模块支持,在各自的构建链(build chain)中使用is-promise的众多项目开始纷纷出现问题。
开发界立即遭受到这个错误造成的影响,从闭源的JavaScript代码库到JavaScript生态系统一些最庞大的项目,统统受到了影响。
这包括Facebook的Create React App(用于创建React应用程序的标准模板)、谷歌的Angular.js框架、谷歌的Firebasse-tools、亚马逊的AWS Serverless CLI、Nuxt.js和AVA等。
这个问题已发生。
is-romise刚进行了一点更改,却搞砸了多个软件包。
到目前为止我发现该库已搞砸了Firebase-tools、Angular CLI、AWS Serverless CLI和Create React App,可能还破坏了更多项目。
该错误并没有导致现有项目崩溃,因此没有出现实际的停运故障,但这确实害得广大开发人员无法编译各自项目的新版本。
is-promise团队发布了更新,但并未解决这个问题,该团队最终在v2.2.2版本中撤回了支持ES模块的功能,而这个新版本是开始出现多米诺骨牌效应几小时后发布的。
2016年就已发生过
与2016年的情况一样,is-promise事件引发了人们的疑问,人们开始讨论JavaScript生态系统中是不是果真需要单行代码库。
就像2016年以及多年前其他编程语言的生态系统所提出的那样,同样的观点再次被提了出来。
有人认为,如果开发人员创建的库只有短短几行代码,对于最无关紧要的操作而言,模块化做得过头了,毫无必要。
还有人认为,需要对这些项目进行模块化,因为采用这种方式的话,“任务A”可以在一个模块中加以管理,而不是让成千上万的开发人员在自己的项目中以不同的方式来处理它。
关于模块化的讨论已经持续了多年,很可能在短期内不会有什么结论。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!