Lodash 是一款非常流行的 npm 库,每月的下载量超过 8000 万次,GitHub 上使用它的项目有超过 400 万。前段时间 Lodash 的一个安全漏洞刷爆了朋友圈,我们先来回忆下这个安全漏洞:
想必各位前几天都被这个新闻刷屏了,千万 NPM 包被篡改,项目存在安全风险。本着对技术的好奇,我也去了解了一下到底它攻击了什么、如何修复这个问题、有什么办法可以解决这种攻击方式。
https://www.npmjs.com/package/mid-index-of
这篇文章目的是介绍如何创建一个ESLint插件和创建一个ESLint rule,用以帮助我们更深入的理解ESLint的运行原理,并且在有必要时可以根据需求创建出一个完美满足自己需求的Lint规则。
这篇文章目的是介绍如何创建一个ESLint插件和创建一个 ESLint rule,用以帮助我们更深入的理解ESLint的运行原理,并且在有必要时可以根据需求创建出一个完美满足自己需求的Lint规则。
Facebook的软件工程师Dan Abramov发出了呼吁,要求让一款特别烦人的 JavaScript安全工具保持静默——该工具的创建者或多或少也认为确实有改进的空间。 “到今天为止,npm audit堪称整个npm生态系统上的一个污点”,Abramov 在一篇博文中宣称。“修复它的最佳时间就是在将其作为默认工具发布之前。修复它的下一个最佳时间就是现在。” 据Abramov声称,该命令标记出来的安全漏洞中99%是常见使用场景下的误报。而这在广大npm用户当中似乎是一种相当普遍的观点。 十多年前,Isaa
1、npm是什么? NPM (node package manager),通常称为node包管理器。顾名思义,它的主要功能就是管理node包,包括:安装、卸载、更新、查看、搜索、发布等。 npm 可以让 JavaScript 开发者在共享代码、复用代码以及更新共享的代码上更加方便。 当一个 JavaScript 开发者为了解决某个问题而编写了一些代码并将其共享出来的话,其他的开发者能够在自己的应用程序中复用这些代码,npm 让这些事情变得简单。 如果你使用了其他开发者开发的代码,你就可以很方便地使用 npm
Aqua Nautilus最新报告指出,PowerShell Gallery关于包名称和所有者的政策中仍然存在重大缺陷,这些缺陷使得在该注册表中不可避免地发生typosquatting攻击,同时也使用户极难辨别软件包的真实所有者。最终,这些缺陷将为潜在的针对注册表庞大用户群的供应链攻击铺平道路。
之前在和小伙伴做一些项目学习的时候经常会写一些重复的代码,然后复制粘贴到下一个项目中使用,比如之前写了 localStorage、sessionStorage等 API 的函数封装实现。假设项目需要使用这些封装好的 API 就要自己再复制粘贴一份,假设如果发现其中有可改进或者修改的地方,那么就需要自己再将这些修改后的文件覆盖到每一个使用过的项目中。
最近有不少反馈说,为什么已经注册成功了,在首页还是一直弹窗提示要注册,这个问题是因为上个月微信改了授权规则了,这里的授权规则需要你自己修改一下。官方具体公告请参考这里
NPM实用指北 npm作为下载node附送的大礼包,大家一定不会陌生。 然而关于npm,估计大量的只是用到npm install XXX以及npm run XXX。 其实这里边还有很多有意思的命令&参数。 关于npm,大概有两个作用: 能让我们很方便的从网上下载第三方包进行实现功能 能够让我们自己编写包,并上传到网上供其他人下载 下载相关的操作 下载主要就是围绕着install这一个命令来的。 install 可以简写为 i 安装原有的依赖包 当我们处于一个项目下时,执行np
npm作为下载node附送的大礼包,大家一定不会陌生。 然而关于npm,估计大量的只是用到npm install XXX以及npm run XXX。
想着搞一下 webpack 的构建优化,网上看到一些方法说是要 webpack4 及以上的才能用。然后就要看看是啥版本来着 ——
讲代码规范的文章很多,但是很可惜没有一篇文章能讲好讲全,其他文章没完成的工作,就让这篇文章来完成吧。
【前端科普系列】帮助阅读者了解web前端,主要覆盖web前端的基础知识,但不深入讲解,定位为大而全并非细而精,适合非前端开发的同学对前端有一个系统的认识,能更好的与前端开发协作。尽可能的写成科普类文章,对于前端开发而言,只适合刚入门的新手。
上一篇文章介绍了vue-cli和create-vue两款vue脚手架,现在官方已经推荐使用creat-vue进行项目的构建,知道cli是基于webpack构建的,每次都需要全部打包构建,而vite就不需要,所以vite速度是更快的。
典型的真实程序会有机地增长。 新功能随着新需求的出现而增加。 构建和维护结构是额外的工作,只有在下一次有人参与该计划时,才会得到回报。 所以它易于忽视,并让程序的各个部分变得深深地纠缠在一起。
在产品迭代过程中,上面的 case 一个函数的参数从 2 个发展到了 7 个,优雅的代码逐渐变为不可维护。这是什么问题?这归咎于日益增长的需求,快速响应和代码质量之间的矛盾。
在了解完基础的Eslint使用指南后,我们就可以进入我们的项目使用了,以如何往一个老的项目加入Eslint配置为例来逐步看看在项目中的配置流程吧,由于公司里用的框架是VUE,我们以VUE项目为例来添加吧。
Snyk 做人发布了2019年开源安全现状调查报告,这是一家针对开源项目提供安全服务的知名公司。
2017年7月19号发生的 Parity 多重签名合约delegatecall漏洞(Parity Multisig Wallet delegatecall)事件之后,2017年11月6号再次发生了 Parity 多重签名函数库自杀漏洞事件(Parity Multi-Sig Library Self-Destruct)事件。此次漏洞影响587个钱包,包含了 513,774.16 Ether($152 million)。
Scratch是麻省理工学院的“终身幼儿园团队”开发的图形化编程工具,主要面对青少年开放。
作者:rianma | 腾讯web前端开发工程师 nodejs 社区乃至 Web 前端工程化领域发展到今天,作为 node 自带的包管理工具的 npm 已经成为每个前端开发者必备的工具。但是现实状况是,我们很多人对这个nodejs基础设施的使用和了解还停留在: 会用 npm install 这里(一言不合就删除整个 node_modules 目录然后重新 install 这种事你没做过吗?) 当然 npm 能成为现在世界上最大规模的包管理系统,很大程度上确实归功于它足够用户友好,你看即使我只会执行 inst
在进行软件开发过程中,我们通常会使用包管理工具来管理项目依赖的软件包。包管理工具允许我们指定所需软件包的版本范围,以满足项目的需求。然而,有时候当我们指定的软件包版本范围过严格时,可能会出现一个错误信息:"To fix this you could try to: 1. loosen the range of package versions you've specified"。这个错误信息意味着我们需要放宽对软件包版本的限制。本篇文章将介绍如何解决这个错误。
Chinese (Simplified) Language Pack for Visual Studio Code:适用于 VS Code 的中文(简体)语言包,此中文(简体)语言包为 VS Code 提供本地化界面。
为了统一团队的代码规范,除了一纸规范说明之外,还需要引入工具进行限制。虽说工具并不能完全实现规范中的规则,但至少能够在一定程度上缓解代码不统一的局面。
配置文件可以从基本配置扩展启用的规则集,不添加则不会继承任何扩展集,仅按照rules下的基本配置来执行。
一个搞安全的程序员 Birsan, 利用 npm 的设计缺陷,成功进入了 35 个公司的内网系统,这些公司还是非常出名的,包括 Microsoft、Apple、PayPal、Tesla、Uber 等,也因此获得了超过 130,000 美元的赏金。那么他是怎么做到的呢?
最近在和同事合作开发一个项目,忘记一开始约定好项目的规范和格式,导致大家都按照自己的习惯去配置了eslint,prettier,当合并代码后就有了下面的情形:
原文:Understanding differences between npm, yarn and pnpm 作者:Alex Kras 翻译:雁惊寒 本文作者对比了当前主流的包管理工具npm、yarn、pnpm之间的区别,并提出了合适的使用建议,以下为译文: NPM npm是Node.js能够如此成功的主要原因之一。npm团队做了很多的工作,以确保npm保持向后兼容,并在不同的环境中保持一致。 npm是围绕着语义版本控制(semver)的思想而设计的,下面是从他们的网站摘抄过来的: 给定一个版本号:主版本
npm 为你和你的团队打开了连接整个 JavaScript 天才世界的一扇大门。它是世界上最大的软件注册表,每星期大约有 30 亿次的下载量,包含超过 600000 个 包(package) (即,代码模块)。来自各大洲的开源软件开发者使用 npm 互相分享和借鉴。包的结构使您能够轻松跟踪依赖项和版本。
npm install -g cnpm --registry=https://registry.npm.taobao.org
最近,一位程序员小哥实在忍无可忍,发帖直指npm audit的设计存在大问题,在网上引起了大家的广泛关注和讨论。
Vuex 是一个专门为 Vue.js 应用程序开发的状态管理模式。Vuex 采用集中式存储管理应用的所有组件组件的状态。换句话说,Vuex 就是帮开发者存储多个组件共享的数据,方便开发者对其读取的更改的工具。
在日常工作中,当组件跨项目使用时,我们往往会选择把组件抽成 npm 包。那么在 npm 开发以及发布的过程中有什么需要注意的事项吗?本文将从我自己的角度,来为大家介绍一下我认为的一些需要大家注意的点。
Node.js通过npm的-g命令可以将包保存在全局,让所有项目共享,但默认情况下,会保存在/usr/lib/node_modules目录下,造成根目录空间不足,实际生产中,需要设置到合适位置下。
一位用不好包管理器的前端,是一个入门级前端,一个用不好webpack的前端,是一个初级前端
npm源在国外,对于国内的开发人员来说,下载包的速度经常很慢,而且npm还经常挂。
下载地址:https://github.com/electron/electron/releases/tag/v12.0.2
在 JavaScript 编写中,我们尽量不要定义全局变量,封装函数尽量不要有副作用,因为全部变量的查询时间会比局部变量的查询慢,更是考虑在Node的环境中无法被垃圾回收的问题
简单来讲,这些站点都做了一件事情:将 npm 仓库上的包转化成支持 esmodule 的版本并通过 url 来进行分发。
存了已经下载的每个版本的压缩包。本地缓存的内容可以通过npm cache ls命令进行查看。本地缓存的设计有助于减少安装时间。
按照提示填写初始化信息,我的模块名称为:finitxu-npm-test,初始版本号:v1.0.0。
领取专属 10元无门槛券
手把手带您无忧上云