去年围绕这个问题圈里几个大佬吵过一次架,感觉阿里内部大部分前端/node项目组都倾向于锁版本。腾讯里面竟然还有些组不仅锁版本而且真的自己修node_modules里的bug。。
这个事情感觉没啥完美的解决办法,根本上说,重要的商业项目过度依赖普遍不咋靠谱的js社区,这本质上就不是特别靠谱。。。
【 在 eGust (十年) 的大作中提到: 】
: 锁版本不能解决漏洞啊,隔几年官方已经不维护了,audit 一堆严重 vulnerabilities,难不成打算自己修么?
--
FROM 171.217.142.*