北京
Lodash 4.18.1 上周静默上线,这个被 3000 万周下载量托着的 JS 工具库,已经 7 年没动过主版本号。GitHub 仓库里,4.18.0 的发布日期停在 2017 年 4 月,中间隔了 2920 天——足够一个婴儿读完小学。
维护者 John-David Dalton 在 release note 里只写了一句话:「修复了 _.template 的 XSS 漏洞」。没有博客解读,没有 Twitter 预告,连 Hacker News 都没溅起水花。对比隔壁 React 发个 Canary 都能上热搜,Lodash 的更新像往太平洋扔了颗石子。
但企业安全团队慌了。Snyk 扫描显示,全球 4.1% 的 npm 包直接依赖 Lodash,间接依赖链能串到 Facebook 和 NASA 的代码库。这个 XSS 漏洞在 4.18.0 里躺了 7 年,直到上周才有人发现——或者说,才有人愿意修。
Dalton 的个人 Patreon 每月进账 87 美元。2019 年他宣布"无限期休假"后,Lodash 进入僵尸维护模式:只收 PR,不推功能,版本号像博物馆里的展品积灰。4.18.1 的提交记录里,90% 的代码来自社区补丁,核心维护者只点了合并按钮。
有开发者在 issue 区留言:"我 2018 年提的 PR 上周才被合并,作者回复说'抱歉,邮件淹没了'。"这条评论收获了 400 多个 ,比 4.18.1 的 release 本身还热闹。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
