开源作者丢了个炸弹,记colors.js与faker.js事件

最新推荐文章于 2024-10-10 08:47:13 发布
最新推荐文章于 2024-10-10 08:47:13 发布
阅读量1.2k 收藏
点赞数
文章标签: 大数据 javascript java linux 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lefex/article/details/122429044
版权
近日,colors.js库被发现加入恶意死循环代码,导致升级包的用户遭遇问题,虽已修复,但引发关注。同时,faker.js库作者直接删库,提醒开发者注意锁定版本及选择开源库的考量标准,如维护状态、团队活跃度等。开源软件的安全与维护再次成为热议话题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这几天出现的这件事情对我感触颇深:

1、faker.js 库删除

2、colors.js 中「作者恶意」加入了恶意的代码

colors.js 加入死循环

colors.js 是一个可以在控制台输出带有颜色的日志,给 nodejs 使用。如果你做过命令行工具,多数用过它。原来实现 CLI 工具如此简单,以前路走错了

544039925bb8c496eac5ffbf7d90ceb9.png

就在这几天,作者在其代码库中加入一段死循环的代码(图是修复时的代码):

72f723470674095ff784f60fc28197e0.png

一但你升级了 npm 包,会疯狂地输出日志:

dd0d8aa948dde2d43751c503a3168528.png

不过现在问题已经修复,有问题的版本 npm 已经回滚,GitHub 已经发布了相关说明:

5ce82d207240d74f403d1953d490f81c.png

81f56ac2c35034323ca20db9cccfaa7e.png

faker.js 删库跑路

faker.js 是一个构造假数据的 js 库,比如构造 mock 数据,这几天被作者删除了。不过我没有用到过。

从这件事情提醒我们:

1、一定记得锁版本,无论大小版本,有些开源作者不按套路出牌,明明改动很大,却发布了个小版本,如果无意中升级,可能会出现意想不到的 bug;

2、开源确实会耗费大量精力,国内开发者大多数比较忙,很多开源软件开源后过一段时间就不维护了,所以选开源库时一定要留意,尤其是项目中的核心代码。选开源软件时,要考虑软件开源协议、开发团队、主要贡献者、活跃度、更新频率、star 数等。

大家加油!

1f225a0e1ad2b2074e59d45e1c3a8bae.png

长按关注

素燕《前端小课》

帮助 10W 人入门并进阶前端

官网:https://lefex.gitee.io/

lefex
关注
Node.js + Swagger + TypeScript + Faker.js( 生成随机数据 ) 的使用,实现前后端分离( Windows环境 )
窝窝头的博客
12-27 1417
一、版本说明 "vue": "^2.6.10", "axios": "^0.19.0", "@vue/cli-plugin-babel": "^4.0.0", "@vue/cli-plugin-router": "^4.0.0", "@vue/cli-plugin-typescript": "^4.0.0", "@vue/cli-plugin-vuex": "^4.0.0", "@vue/cl...
faker.js_使用Faker.jsJSON-Server的后端数据和API原型
编程故事的地方
01-26 3120
faker.js 介绍 我们很敏捷! 在我们的大多数项目中,都要求我们后端服务和API并行开发用户界面。 这给我们带来了实施和测试用户界面的挑战,而没有实际和真实的数据可用性。 不仅如此,API怎么样? 可以伪造成这样吗? 用户界面可以在第一天REST API集成吗? 这些API提供的交互点几乎实际数据类似? 这些调用可以通过有线方式进行,这样我们就可以从远程服务器(模仿...
Color.js:一个 Javascript 颜色工具
06-22
#Color.js 贡献者·· Color.js 是一个提供基本颜色功能的类,从 hex-rgb 转换到可区分的颜色生成。 例子 new Color ( ) ; new Color ( 4 , 60 , 255 ) ; new Color ( [ 4 , 60 , 255 ] ) ; new Color ( { r : 4 , g : 60 , b : 255 } ) ; new Color ( '#0f0' ) ; new Color ( 'f04ff0' ) ; Color . random ( ) ; var color = Color . smartRandom ( ) ; console . log ( color . toHex ( ) ) ; console . log ( color . toRawHex ( ) ) ; console . log ( color .
关于一个color.js和fake.js开源软件的问题的一点想法
jimmyleeee的专栏
01-10 565
最近,关于开源软件color.js和fake.js作者提交恶意代码导致很多依赖此组件的软件产生问题,下载量和Vue一样大的开源软件被作者恶意破坏,数千款应用受到牵连 一直都说开源软件是一把双刃剑,这次,还真是双刃剑。 不过,开源软件是大势所趋,也不必为个别事件惊慌。正如,概率论理说的,小概率事件必然发生。关键是做好发生时的处理预案即可。 使用开源软件升级时,将相关的功能进行一次全回归测试还是必要的,不能抱有侥幸心理。开源软件是As-IS原则,实现成啥样就是啥样,是不会对因为它造成的损失负责的。这就需
colors.js--使用/实例
IT利刃出鞘的博客
12-06 1531
其他网址 node 使用 colors.js 在终端多颜色 console - Postbird - 猫既吾命 npm库地址 简介 colors.js 是一个用于 node.js 终端 console.log 的颜色库,每周下载量很恐怖,有 7,043,935+。
Node 系列 - 005 - colors.js
weixin_41806099的博客
06-17 473
接入 commander.js 和 Inquirer.js 之后,本应该直接接上 colors.js,毕竟我们现在是控制台输出,控制台不搞得飘飘亮亮(花里胡哨的)。但是上篇 Inquire...
探索色彩的魅力:Colors.js深度揭秘应用指南
gitblog_00017的博客
06-23 493
探索色彩的魅力:Colors.js深度揭秘应用指南 ColorsA simple color manipulation javascript library.项目地址:https://gitcode.com/gh_mirrors/colors1/Colors 项目介绍 在数字创意的无垠海洋中,色彩是表达情感和设计灵魂的关键元素。Colors.js,一款轻量级且易于使用的颜色处理库,正如其名,为...
terminalfaker:Terminal Faker-用Javascript编写的类似于客户端Linux cli终端仿真。 最初是从AVGPterminal.js分叉的
05-07
我非常感谢许多贡献更新的用户,尤其是在Hacktoberfest 2019期间,但是它导致该项目变得越来越复杂和依赖,使它超出了我的理解或处理的能力(我主要不是JS开发人员)。 WebPack和其他依赖项的添加
ember-fakerjs:Ember的Faker.js模板助手
04-10
该插件附带以下助手: faker-fake , faker-sentence , faker-sentences , faker-text 。 用法示例: {{ faker-sentence 10 }} {{!-- create a 10-word sentence --}} {{ faker-sentences 5 }} {{!-- create a ...
graphql-faker-mocks:使用faker.js实际模拟您的GraphQL服务器
05-07
使用faker.js实际模拟您的GraphQL服务器 有时您的GraphQL服务器需要使用尚未实现或暂时不可用的API。 在这种情况下,模拟似乎是正确的选择,但是很难维护良好的模拟数据,因此我们最终在应用程序中到处都有“ Lorem ...
js-colors:简易JavaScript颜色应用
03-14
js颜色 JavaScript是一种出色的语言,可用于通过用户交互来编写和测试快速的应用程序 链接 要求 浏览器(例如Firefox或Chrome) 文本编辑器(例如VS Code或Notepad ++或Chrome) 好处 无需下载-几乎每台计算机都已经具有浏览器 没有语言,工具或版本-浏览器已在运行JavaScript 使用功能,声明式,面向对象,命令式和事件驱动范例的代码 内置功能供用户输入 易于样式化,带有免费的预制样式(在CDN中托管) 资源 也可以看看
js-colors:JavaScript 颜色操作库。 它提供了几个“类”,允许您在浏览器中即时操作颜色
06-18
js-颜色 JavaScript 颜色操作库。 它是一个设计和构建的库,可以用浏览器中的颜色完成您想做的所有事情。 此页面致力于开发相关的所有内容。 有关文档,请访问! 安装 既然是在凉亭里,那真的很简单。 bower install js-colors 如果你不想使用 bower(即使它真的很棒),你可以直接从的下载一个预编译版本。 发展 我喜欢有人帮助我编写软件。 只要满足以下条件,请提交拉取请求: 代码覆盖率仍为 100% 您对添加的功能的每一位都至少进行了一次测试 您相应地更新文档 它仍然通过 eslint 如果您不能满足(或不知道如何)满足上述条件,请不要担心,这是协作,我们可以一起做! 贡献 安装所有依赖项(幸运的是 npm 使这很容易) npm install 在 color.js 中编辑您需要的内容 确保测试通过 karma start 在以下位置检查代
前端项目-Colors.js.zip
09-02
前端项目-Colors.js,简单的颜色操作javascript库。
颜色处理的新宠儿:Colors.js
gitblog_01009的博客
08-28 358
颜色处理的新宠儿:Colors.js ColorsA simple color manipulation javascript library.项目地址:https://gitcode.com/gh_mirrors/colors1/Colors 在前端开发乃至图形设计领域中,对颜色的精确操作和优雅转换总是不可或缺的一环。今天,我们要向大家隆重推荐一款轻量级且易于使用的颜色管理库——Colors....
colors.js - 将你的 Node.js 输出颜色化!
gitblog_00002的博客
03-09 701
colors.js - 将你的 Node.js 输出颜色化! colors.js get colors in your node.js console 项目地址: https://gitcode.com/gh_mirrors/co/colors.js ...
colors.js 使用教程
gitblog_00023的博客
10-10 434
colors.js 使用教程 colors.js get colors in your node.js console 项目地址: https://gitcode.com/gh_mirrors/co/colors.js ...
`colors.js` 使用教程
最新发布
gitblog_00879的博客
10-10 892
colors.js 使用教程 colors.js get colors in your node.js console 项目地址: https://gitcode.com/gh_mirrors/co/colors.js ...
Colors
weixin_36998440的博客
07-24 252
The color green is natural for trees and But it is an unnatural color for humans.A person who has a sick feeling stomach may said she feels a little green.A passenger on a boat who is feeling sick fr
Node.js npm colors
司马懿的西山居
02-15 3976
译自 https://www.npmjs.com/package/colorscolors get colors in your node.js console 在你的 node.js 控制台中获取颜色get color and style in your node.js console(在你的 node.js 控制台中获取颜色和风格)安装 npm install colors colors
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值