一个单行代码的 npm 库，竟然让数百万个 JavaScript 项目崩溃了

不懂你们 JS 程序员的引用方式
难道不精确限定版本么？

package-lock.json 是多么的重要

引用这事情，感觉有点像把捅人的刀子交到了别人手上

left-pad 才过去几年，按理来说这点代码不应该自己实现吗，为什么要调用别人的库

@nyanyh 为了不重复发明轮子。

@raymanr 之前在 hn 上看到一个观点，说你同事的代码提交上来 review 了又 review，然后一个陌生人写的啥都不知道就合入然后升上去了。。。。。

java 也一样， 几白兆的 jar maven 过来就开始跑了。

@matrix67 #5 省下两行代码，却在 package.json 里多了个依赖，该有的 import 一样不能缺，没看出到底节省了什么……

我记得以前有个类似事件，也是非常短的库。我想不明白，这种一行的烂库有什么好引用的。

可以的…看着蛮吓人。不过有个问题，这种几行代码的库，你们是怎么发现的？知道是为了避免重复造轮子，但这种感觉就是一个 gist 呀，Google 一下可能就找到了。反而发现这么一个库似乎不是那么容易…

这确实是个破烂库 测也只是测大概而已
测试是否 promise 用意何在... 看来又是大而全的阴谋
小而精不重要的东西 话说也不精

有句话怎么说的来着，

有时候免费的，反而更加昂贵。

CI 应该没测试
或者没 CI
应该都不是大项目
影响也都不会大

@wangyzj #13 Angular.js 、Create React App 、Nuxt.js 算吧，影响还是有的

遇到这种事，只能一句 我屮艸芔茻 了。

我觉得根源还是 dependencies 的书写方式上，现在是 名称字符串：版本号字符串 这种形式，然后 npm 的 install 瞎几把下载，固定版本号没有传染性。

如果 dependencies 里面的版本号搞成对象形式，固定版本号必填，允许什么级别版本号升级兼容自己选择。那么根据最终使用如果使用的是固定版本号，安装的所有库都必须使用固定的版本号，版本的选择权就完全交给了库的使用者。传染性很重要。

说白了还是 npm 的设计有毛病。

面对过程强的地方在于只要知道过程中前后差异 只要能达成一样目的就替代掉了
弄个对象还要考虑对象相容 甚至弄个对象互转超级麻烦

@xiangyuecn 如果固定版本号，所有的库基本都无法共享同一份库了，比如 A 库用了 c 库 1.01 版本，B 库用了 c 库 1.02 版，内存和硬盘中就有二份基本差不多的重复代码了，磁盘和内存用量要爆炸一波，用处却没多少。现在的 package-lock 才是最佳选择。

只要不是写烂过程或者语言本身函式用法烂 函式好的多

@firefox12 #7 maven 还好，除了 spring 官方库不限定版本外，其他都要限定版本

golang 程序员点了个赞