所以呢？webpack 4 估计有两年没更新了吧，node 14 到明年就连安全补丁都没了。你们就打算一直这么下去，压根不关心有多少安全漏洞么？

至于开源项目的质量，windows 因为 jdk 直接从8跳到了10，今年 log4j 还暴了 rce 的雷，也没见谁直接就说 java 不行了。还是你觉得，用着一个两年没更新的库发现的问题，远远比 rce 要更严重？

【 在 oldwatch 的大作中提到: 】
: 这段写死hash函数的代码是webpack 4 工具里头的……
--
FROM 203.184.25.*