我估计如果你们跑一下 yarn/npm audit 的话，应该是满屏的红吧

【 在 oldwatch 的大作中提到: 】
: 一个旧项目迁移，构建失败
: webpack报错说hash algorithm不被支持
: 看了一下是默认的md4 hash 已经被系统禁掉了
: ...................
--
FROM 222.153.154.*

所以呢？webpack 4 估计有两年没更新了吧，node 14 到明年就连安全补丁都没了。你们就打算一直这么下去，压根不关心有多少安全漏洞么？

至于开源项目的质量，windows 因为 jdk 直接从8跳到了10，今年 log4j 还暴了 rce 的雷，也没见谁直接就说 java 不行了。还是你觉得，用着一个两年没更新的库发现的问题，远远比 rce 要更严重？

【 在 oldwatch 的大作中提到: 】
: 这段写死hash函数的代码是webpack 4 工具里头的……
--
FROM 203.184.25.*

node 承诺 lts 至少30个月的安全周期，对于一个高度依赖开源社区并且迭代迅速的工具来说，我没看出来有啥不合适的。我们 ruby 都是圣诞节发布新版本，3年之后再维护到第一个季度结束，总共也就39个月的生命周期。

webpack 4 两年前已经停更了，你直接说 audit 多少个安全漏洞吧。这是我们公司一个等着升级的 webpack 4 项目：
77 vulnerabilities found - Packages audited: 2174
Severity: 6 Low | 24 Moderate | 43 High | 4 Critical

估计你们的也好不到哪去。

我们这主要原因就是 sb 同事当初坚持要求用 @rails/webpacker，卡的死死的还制造了无数麻烦。刚好 vue 2.7 最近发布了，这个月我打算把 webpack 都干掉直接上 vite，然后慢慢往3上面迁。

至于 hard-coded hash 算法，没看出来有啥不合适的。ubuntu 22 禁用 openssl 1.1，一堆东西都编译不了，macos 更是早就不带了。结果不照样还乖乖自己编译么？

【 在 oldwatch 的大作中提到: 】
: 先不说NodeJs的"Long"果然够长，重新定义LTS
: 我吐槽的是一个版本号>3的主流工具的代码质量
: （该读配置的地方硬编码）
: ...................
--
修改:eGust FROM 222.153.154.*
FROM 222.153.154.*

有啥办法，脚本语言里连 py2.7 也就只有不到10年而已。并不是所有语言都认为 lts 就应该把 3 billion devices 都锁在版本8升不上去的

【 在 hgoldfish 的大作中提到: 】
: 为啥说 39 个月啊。应该说 30 * 39 = 1170 天啊。
: “我们 LTS 版本维护时间长达 1170 天！”
--
FROM 222.153.154.*