tillbaka till startsidan

45. Paketdebakel

Lyssna på Spotify lyssna! Lyssna på iTunes

Vi snackar om helgens debakel där utvecklaren bakom faker.js och colours.js bestämde sig för att medvetet förstöra paketen i någon form av protest. Det leder bland annat in på diskussioner om ägandeskap över sin egen kod, att bli bannad från GitHub, sociala medier-poesi och open source-finansiering.

Dessutom en hel del om log4j och säkerhetsluckan log4shell, Mozillas “bad guy moment” samt korthuset som vi kallar npm-paket.

Om du gillar podden blir vi väldigt glada för en liten recension i iTunes eller en prenumeration på Spotify. Följ oss och säg hej på @asdfpodden på Instagram eller Twitter (Anton, Therése) <3

Länkar

Avsnittets skämt:

Vad sa den trötta gränssnittsutvecklaren?
Jag är så jävla LESS.
Skrapa här!!
Transkribering
Transkriberingen är gjord av nån "AI-grej". Du kan förbättra den genom att klicka precis här :)
00:00:00
Vad sa den trötta gränssnittsutvecklaren?
00:00:03
Jag vet inte.
00:00:05
Är du så jävla less?
00:00:07
Det var kul, den gillar jag.
00:00:11
Började bli lite utdaterad, för det är inte många som kör less längre.
00:00:15
Men det är bra att vi betar av den nu tänker jag.
00:00:18
Ja, jag vet. Men den låg långt ner i lådan, det var verkligen dags nu.
00:00:22
Har du fått gräva i botten av skämtlådan?
00:00:27
Jag har inte kommit några nya till mig. Jag får jobba på det där.
00:00:31
Vi får se. Än så länge tycker jag att de håller nivå i alla fall.
00:00:36
Man ska inte ha för höga förväntningar. Det har vi aldrig haft så det har hjälpt.
00:00:41
Det är lite temat med hela podden.
00:00:44
Jo, jag vet inte om du... Jag pingade dig innan här om vad vi skulle prata om.
00:00:50
Jag vet inte hur bra koll du har på det här debaclet som jag såg på finska med FakerJS och CollorsJS.
00:00:57
Jag tror det var.
00:00:59
Ja, jag har väl i alla fall grundläggande koll på debaclet, men kanske inget djupdyk.
00:01:05
Jag är inte hängt i Twitter-trådar så att säga.
00:01:08
Men jag har läst artikel.
00:01:11
Ja, okej.
00:01:12
Ja, precis. För det var ju i, jag kommer inte riktigt ihåg vilken dag det var.
00:01:15
Det var lördags kanske.
00:01:17
Fredags eller lördags tror jag.
00:01:19
Som då en Open Source-utvecklare som har gjort de här FakerJS och ColorOS-JS bland annat
00:01:27
Tydligen tyckte att nu får det vara nog på att jag ska jobba gratis
00:01:32
Och i stort sett, om det var FakerJS som han släppte en uppdatering av det här paketet som ligger på npm
00:01:43
Och i den uppdateringen så slängde han in så att paketet egentligen inte fungerade längre
00:01:49
Och samma sak i den här ColorlessJS, att det som hände var att när du försökte köra någonting så fick du en infinite loop istället.
00:01:59
Och den printade massa "bly" till konsolen, eller till terminalen, så att din terminal hängde sig.
00:02:06
Eller ditt käll.
00:02:08
-Och så "Liberty, Liberty, Liberty".
00:02:11
-Ja, exakt. Och det stod typ så här.
00:02:13
Release notes för uppdateringen var "add liberty flag" eller något sånt.
00:02:20
Och allt det här gjorde att extremt många saker slutade funka.
00:02:26
För det är skitmånga som beror på fake IS eller specifikt Colorless IS.
00:02:30
Jag tror det var en halv miljon grejer som berodde på Colorless IS.
00:02:35
Och bakgrunden var väl i stort sett med att han tyckte att "Big corporations" borde betala mig för att jag gör det här open source arbetet.
00:02:47
Och jag är förvånad nog, det kanske var för att det hände på en helg, men jag märkte inte alls av det förrän jag såg folk på Twitter som började tweeta om det.
00:02:59
Jag märkte inte någonting i min egen projekt, ingenting sånt.
00:03:02
Så jag slapp nog väldigt mycket av jobbet som han själv kanske hade behövt gjort.
00:03:10
– Ja, alltså jag märkte ingenting. – Nej, så det var ju fint.
00:03:14
Det kan man ju tacka för att det skedde på en helg och inte på en vardag.
00:03:18
Det som också hände sen var att NPM gick in och återställde en av de här tidigare versionerna.
00:03:25
Alltså de som inte var dåliga eller de som inte fungerade.
00:03:32
Ja, avsiktligt förstörda. Var inte Faker.js-versionen typ 6.6.6?
00:03:39
Jo, jag tror kanske att det bumpades till något extremt stort.
00:03:44
Så det var väldigt mycket.
00:03:46
Sen gick NPM in och drog tillbaka versionen.
00:03:50
Och sen gick också GitHub in och bannade hans konto på GitHub
00:03:56
Vilket kanske har varit den mest kontroversiella diskussionspunkten tror jag
00:04:01
Det ska väl tilläggas också att han uppdaterade Readme in i de här projekten så att det stod massa konspirationsteorier om Aaron Swartz
00:04:10
Och massa, typ Ghislaine Maxwell och grejer
00:04:14
Så det var kanske inte bara på grund av att han släppte de här paketen som han bannades.
00:04:20
Min gissning är att GitHub bannade för att de trodde att hans konto var hackat.
00:04:25
För det hade varit det logiska steget att ta, att när någon släpper en...
00:04:32
Det skulle kunna vara malware i de här nya paketen.
00:04:36
Särskilt när även readmes och sånt uppdateras.
00:04:39
Men om vi börjar där, vad tänker du kring att github eller att npm tar bort versionen tycker jag inte är så kontroversiellt.
00:04:48
Men vad tänker du till exempel om att github har bannat hans konto?
00:04:51
Och det är fortfarande bannat så ska jag säga.
00:04:53
Ja det där är svårt alltså.
00:04:58
Det där är någonting, jag känner inte ens att jag är sugen på att krafsa på den ytan.
00:05:03
Men det känns ju konstigt att en användare ska bli bannad, speciellt nu när det är ett stort corporation som äger grejerna.
00:05:20
Men å andra sidan, som du säger, i tider där vi pratar mycket om desinformation och att det är privata företag som faktiskt kan banna folk från sociala mediekonton för att de förfalskar och sprider rykten och så vidare så vidare så är det ju inte "unheard of".
00:05:40
"nerd" av att det är en persons kod.
00:05:47
Men på sociala medier så är det en persons...
00:05:51
Jag ville kalla det poesi.
00:05:54
Det känns som att det är väldigt sällan det ligger väldigt nära poesi.
00:05:59
Poetry slam.
00:06:00
Personers verk.
00:06:03
Ja, eller innehåll i alla fall.
00:06:06
Jag flyger alldeles för högt med bedömningarna kring trötta tweets.
00:06:11
Men så att, jag menar det är väl, jag kan ju se båda sidor.
00:06:17
Alltså jag förstår ju absolut varför han blev bannad typ från GitHub-sidan liksom.
00:06:25
Men jag har nog ingen tydlig svar i vad jag tycker så.
00:06:30
Vad tänker du?
00:06:33
Jag har ju väldigt mycket på sidan att jag är bannad, vilket känns som att det är en minoritet.
00:06:39
I alla fall av det jag har sett på Twitterstormarna som har varit om det här.
00:06:44
Jag tänker att det finns två anledningar.
00:06:47
Den stora anledningen som jag ser är att enligt GitHubs villkor så får du inte hosta innehåll som står till stil med att det är gjort för att påverka andra negativt på ett medvetet sätt.
00:07:09
typ något sånt. Och jag tycker att det här är exakt vad det är.
00:07:14
Alltså han har gjort det här för att folk ska få problem.
00:07:18
Han gör det också som ett jävla statement mot "big corporations" när det inte drabbar en enda "big corporation".
00:07:23
Den enda som det drabbar är andra utvecklare som sitter och faktiskt får rätta felen.
00:07:30
Ja, nu när du säger så.
00:07:35
Ja, så jag tycker att det var omoget och oansvarigt av han att göra det.
00:07:45
En viktig detalj är också att båda de här projekten, om jag inte har sett helt fel, var släppta under MIT-licensen.
00:07:53
Ja, det läste jag också.
00:07:55
Vilket i stort sett säger "här, gör vad du vill med min kod".
00:07:58
- Ja.
00:08:00
- Så att med det i åtanke så tycker jag ändå att det kan vara så här, då får man lite skylla sig själv
00:08:08
om man har gjort det, för det är ingen som har stoppat honom från så här "ja, jag slutar utveckla den här projekten"
00:08:14
eller "ja, jag gör dem privata och fortsätter att ta betalt för de nya versionerna av projekten" till exempel.
00:08:21
Det som förmodligen skulle hända är att någon forkar repot och släpper en faker2.js eller vad det nu kan bli.
00:08:30
Jag har inte röntgick också, då får man göra det i sådana fall om du vill använda dem en tid när det är själv.
00:08:37
Jag tycker bara det är alltid intressant med just det här.
00:08:42
Det är censur och yttrandefrihet och det är privata företag.
00:08:47
Ja, det håller jag verkligen med.
00:08:50
They rule the way they wanna rule tänker jag. Alltså det är klart att man kan tycka att det är fel om man pratar mycket om när andra företag censurerar eller väljer att inte ta in verk från människor.
00:09:03
Men jag menar så länge det inte är statligt och det är grundlagar som bestämmer det så får väl de göra vad de vill.
00:09:11
Ja, jag håller med. Jag tycker att det kanske finns en poäng att diskutera det för att typ Facebook och Twitter och andra sociala medier har blivit så pass stora att de kanske motsvarar tidningar litegrann förr i tiden
00:09:27
Där man kanske har lite mer, där de båda har mer ansvar för vad som faktiskt trycks i tidningen men också att det kanske inte går att bara ignorera saker
00:09:36
Sen finns det ju exakt samma poäng att göra åt andra hållet, att tidningar väljer vad de publicerar också.
00:09:40
Så det är en svår poäng för mig att göra så att säga.
00:09:46
Men sen tycker jag också att det finns en poäng i att diskutera, alltså den poängen han vill göra, den här utvecklaren bakom biblioteken.
00:09:56
Att open source kanske behöver en bättre sätt att få in pengar på.
00:10:03
För just nu så finns det inget bra sätt egentligen.
00:10:06
Det mesta är ju typ att "ja okej, vi har någon Patreon eller någon Open Collective eller vad det nu heter där man kan donera pengar".
00:10:15
Men då är det ju väldigt mycket att "ja då donerar man för att göra det".
00:10:17
Det är väldigt få gånger man använder faktiskt ett mjukvarubibliotek som man måste betala för.
00:10:23
– Ja, för att det finns andra alternativ då liksom. Så då väljer man att inte göra det.
00:10:30
Det är verkligen en fråga som behöver diskuteras och komma fram till någonting.
00:10:40
Men jag menar, kan jag ta sönder saker? Det kanske inte riktigt är ett sätt att göra på.
00:10:47
Jag antar att det är någon typ av demonstration som fick enorma ramifikationer.
00:10:55
Men jag kan ju också känna så här att om du blir svinarg på att folk använder din kod, lägg inte ut din kod.
00:11:07
Nej, jag håller med.
00:11:11
Inte att vi inte ska diskutera open source-grejen och att folk gör jättebra saker som alla använder, men just den här liksom så här.
00:11:19
- Okej, men du i början eller du har varit svinglad för att folk ville använda dina saker?
00:11:24
Alltså när vände det och gav dig rätten att bara ändra reglerna mitt i?
00:11:29
- Nej, jag håller ju med dig.
00:11:32
Jag förstår ju också folk som gör argumentet, men det är hans kod, han borde få göra vad han vill med den.
00:11:40
- Absolut.
00:11:41
- Alltså det argumentet låter ju sunt när han säger det.
00:11:46
Men samtidigt så är det ju så här, ja det är absolut, men om han då helt plötsligt skulle vilja lägga in ett virus i koden, håller det argumentet fortfarande?
00:11:55
Eller om han skulle vilja lägga in en krypto-miner i koden utan att liksom explicit berätta det, håller det fortfarande?
00:12:03
- Ja, för det blir väl också på någon sån här samhällsansvarsgrejen.
00:12:09
Typ att använda som tidningar och nu kanske Facebook har ansvar för samhället.
00:12:14
Här finns ju något typ av ansvar över internet.
00:12:21
Om man har så extremt många användare och många delar som använder det.
00:12:27
Och så har man ju sänder rätt mycket.
00:12:31
Men jag vet inte, det är en klurig fråga.
00:12:35
Det är intressant för det är på många olika håll och det gäller verkligen att ha mycket saker i huvudet samtidigt.
00:12:40
Ja, absolut.
00:12:42
Vilket kanske inte alltid är allas favoritgrej.
00:12:47
Men det är spännande.
00:12:51
Jag funderade ganska mycket på det här.
00:12:54
Jag tror det var senast när jag skulle använda Husky, tror jag.
00:12:58
Och då var det väl så att jag kollade i det report och då var det nog senaste version, version 5 eller något sånt tror jag.
00:13:06
Och då stod det väldigt tydligt så här att om du är privatperson och använder det till privatprojekt, varsågod.
00:13:16
Men när du företag och vill använda version 5 då vill jag ha, om det var donation eller betalning för det liksom.
00:13:24
Annars får du gärna fortsätta använda den fortfarande maintainade version 4 tror jag.
00:13:30
Just det.
00:13:31
Och det är ju problem kanske fortfarande för att det är liksom så här att du måste fortfarande se till att få in donation.
00:13:37
Alltså det är fortfarande människors goodwill att inte använda det.
00:13:42
Men det blir på något sätt så här, det här är väldigt tydligt gjort.
00:13:45
Och jag som skulle dra in det och ett företagsräkning valde ju att dra in version 4 liksom för att testa de här grejerna.
00:13:53
Då blir det plötsligt så att om man ser att stora företag använder det, då kan man i alla fall ställa frågan och ifrågasätta.
00:13:59
Det blir mer transparent. Varför använder du inte fyra i sådana fall? Har du donerat? Det blir någon dokumentation kanske?
00:14:08
Ja, precis. Det är intressant att man kan gå så olika vägar.
00:14:14
Det finns ju ett företag som heter Mapbox som har en alternativ till Google Maps.
00:14:22
Det är en väldigt kort förklaring av vad de gör.
00:14:25
Men de hade också ett open source bibliotek som hette Mapbox GL.
00:14:29
Som var där man kunde rendera olika typer av kartor.
00:14:32
Och då fick man välja vilken kartleverantör man ville ha så man kunde köra Mapbox
00:14:38
Det finns något som heter...
00:14:40
Namnet som jag tappade bort precis när jag svarade, men det finns en annan leverantör som är billigare
00:14:44
Men tillhandahåller samma tjänst, men man kunde plugga in dem i det här biblioteket
00:14:49
Och de gjorde också så att de släppte en ny major version av sitt bibliotek
00:14:54
Där de sa att "Nej, nu får det här biblioteket bara användas med våra egna tjänster"
00:14:58
Vilket upprörde lite grann folk i communityt, lite för att folk har kanske bidragit till biblioteket utan att tänkt att de ska använda Mapbox-tjänster
00:15:15
Men samtidigt förstår man ju också Mapbox att vi har utvecklat biblioteket, vi måste kunna få in pengar till det på något sätt för att kunna fortsätta vidareutveckla det
00:15:23
Där ledde det, tror jag med minst rätt, till att det forkades och att det finns nån fork på den som heter typ "Mapplibre GL" kanske
00:15:35
Eller något i den stilen. Så där har det verkligen blivit en hård fork. Sen kan jag fortfarande tänka mig att man måste använda de här Mapbox-tjänster kanske gör att de får in lite mer pengar
00:15:48
För folk som hittar det i biblioteket och känner att det här ser skitbra ut men okej då måste jag använda den här tjänsten för att få det att funka.
00:15:55
Ja, det blir spännande för att om man har en ren betaltjänst, det är så svårt att bara avgöra om någonting passar ens behov, out of the box.
00:16:10
Så när man letar efter någonting, man kan prova ett par libs för att hitta det som passar bäst där jag behöver det.
00:16:20
Och det blir mycket knörligare att bara betala på från start.
00:16:25
Jag är inte emot att betala, speciellt inte från ett företagssida.
00:16:34
Men jag tycker det är svårt med den här avvägningen. Kan man få någon typ av temporärt testlicens?
00:16:41
Demo? Trailer? Nej men jag vet inte. Det blir så svårt.
00:16:46
- Ja, där är också en poäng. När folk ber om donationer för användare.
00:16:53
Det är ju i alla fall i Sverige väldigt svårt att motivera för ett företag.
00:16:58
"Okej, för användare här så måste vi donera lite pengar."
00:17:01
Det är inte så att vi får en faktura för användare, vi ska liksom inte göra det, utan det är bara en betalning som ser ut som en donation som vi sen ska bokföra som betalning för det här och det går liksom typ inte.
00:17:12
Så det gör det också väldigt svårt att faktiskt liksom använda saker som kräver donationer just för att använda det liksom.
00:17:18
Ja, men det är verkligen en superknallig grej.
00:17:23
Det är ju, för jag läste idag också, det var ju en, i artikeln jag läste så var det ju en referens till Log4j-debaclet.
00:17:32
Just det, ja det har inte vi ju ens nämnt tror jag.
00:17:36
Nej, och det var väl, var det innan jul där någon gång liksom?
00:17:40
Ja, det var väl precis innan jul tror jag.
00:17:43
Log4j är ju loggning för Java.
00:17:47
Och det är väl open source också liksom.
00:17:53
Det ligger under open source eller någonting Apache.
00:17:57
Ja, det ska vara det. Jag tror det ligger under, ja exakt, hur man nu uttalar det, Apache.
00:18:01
Den foundationen tror jag.
00:18:05
Precis, och då var det väl så att det var några som hade hittat och registrerat säkerhetsläckor på det va?
00:18:10
- Exakt. Och det var ju alltså en ganska stor, alltså det kanske är den största säkerhetsläckan senaste 20-30 åren, typ.
00:18:19
Om man tittar globalt, vad som hände sen.
00:18:21
- Ja, Gud ja. Och att någon borde hittat den för ett tag sedan, så att säga.
00:18:26
- Ja, absolut.
00:18:28
- Men just att den liksom hittades där, innan jul och bara sprängdes liksom.
00:18:35
Jag tror att det var fler som bara hittade ännu fler problem och ännu fler vulnerabilities.
00:18:41
Det som då egentligen skedde var ju hur många företag som helst som använde det.
00:18:49
Alla hade de här säkerhetsläckorna.
00:18:51
Men det som de facto hände var väl att de open source utvecklarna fick sitta utan ersättning
00:18:58
över jul och bara patcha i all ljusets hastighet.
00:19:07
Och det gjorde de ju.
00:19:08
Men det var ju vad jag förstått då utan ersättning.
00:19:12
Utan bara hets av hela internet.
00:19:15
- Ja, exakt.
00:19:16
Jag kommer ihåg när det där briserade.
00:19:18
Att när jag hörde...
00:19:21
Det var en mindblown-ögonblick när jag hörde att
00:19:24
Det enda som krävdes var att man skrev en specifik sträng som det här loggade.
00:19:31
Och då fick man access för att köra RCE, alltså Remote Code Execution.
00:19:35
Alltså att du kunde köra kod på den maskinen som hade loggat det här.
00:19:38
Och att det även fanns tips i Minecraft.
00:19:41
Så det räckte med att du skrev något i chatten på Minecraft.
00:19:43
Och då fick du det på servern, men också på klienterna som var anslutna till servern.
00:19:49
För att alla klienter också loggade vad som sags i chatten.
00:19:52
Så det räckte att du gick in på en Minecraft-server, skrev den här grejen och så kunde du få access till alla som var anslutna till servern och servern.
00:19:59
Jävlar!
00:20:01
Och då kände jag, ah, okej, det här kanske är ganska allvarligt ändå.
00:20:05
Ehh, ja.
00:20:07
Det är då man förstår den här mimen när hon tar i hand med chefen som tackar för att man har varit så bra på säkerhet och redan när man gjort det var det en standard outline.
00:20:17
Jag har hört det, hos min nuvarande kund så är det en leverantör som vi har där deras testmiljö har varit nere i en och en halv månad
00:20:27
Och vi tror att det är på grund av att de hade låg på J där och då har de väl prioriterat prod, helt förståeligt, men testmiljön har varit nere ganska länge
00:20:39
Det är också en sån här grej som du säger, jag känner igen den storyn att de fick sitta själv och det var inte jättemånga som var aktiva och utvecklade det här projektet
00:20:51
Och så blev det precis som du sa, att man hittade den här första buggen, löste den, släppte någon patch och så bara "ja nu hittar vi en till bugg"
00:20:56
För att helt plötsligt satt ju hela internet och granskade log4j-koden och letade fler säkerhetsluckor och då är det klart att man hittar någon mer
00:21:06
Ja, och det är inte då man som denna maintainer bara "Nej men jag ska öppna en julklappar nu så killa alla".
00:21:16
Nej då känner man kanske lite ansvar att faktiskt försöka fixa det direkt.
00:21:21
Men det är ju sjukt, man kan ju tycka att det borde till någonting sånt här.
00:21:26
När det här har hänt, att nu kanske folk inser att vi borde betala de här lite mer så att de har lite mer resurser och kan lägga lite mer tid på det.
00:21:33
Och kunna se att det här projektet hade råd att beställa in någon extern ådigt av all kod.
00:21:41
Sådana saker skulle kunna finansieras om bara fler skickade lite pengar på dem.
00:21:48
För egentligen handlar det inte om att världens företag inte har pengar.
00:21:52
Utan det är bara att det är gratis och gott.
00:21:55
Ja, och för att det finns en tradition att allting bara är gratis.
00:22:00
Ja, verkligen. Det kommer väl lite från information is free-rörelse.
00:22:06
Men det är lite av ett korthus. Det finns ju någon XKCD-seriestripp.
00:22:15
Det är en bild på ett staplat torn av klossar.
00:22:23
Och sen är det en liten kloss som håller upp allting.
00:22:26
Och så står det en pil som skriver "As minor project someone on the internet has been thanklessly maintaining since 97".
00:22:36
Och det är exakt vad det är.
00:22:40
Så att, det vet inte, Log4J var ju extremt stort men samtidigt är jag också lite skeptisk till att det kanske kan bli någon faktisk förändring i hur Open Source funkar.
00:22:50
Det är ett för stort monster liksom, vem ska driva det, vem ska lyckas göra det liksom. Det känns otroligt svårt.
00:23:01
Ja.
00:23:02
Det måste vara en hel av en projektledare det där alltså.
00:23:04
Det känns som att det blir lite populärt på sistone med folk som bygger populära open source-projekt inom JavaScript-världen.
00:23:13
Att man bygger ett bolag bakom som sen tar in riskkapital och så ska man försöka bygga någon tjänst som man ska tjäna pengar på.
00:23:20
Du har till exempel Vercel som kom från Next.js från början.
00:23:27
Du har Remix nu nyligen som också har startat något bolag och tagit in riskkapital.
00:23:34
Så det finns väldigt många sådana som har gjort det den vägen.
00:23:38
Men det funkar inte för alla att göra så.
00:23:41
Det är helt omöjligt att folk ska kunna trycka in så mycket riskkapital i bara något och sen att det ska gå runt på det.
00:23:47
Det blir ju inte hållbart i längden.
00:23:49
– Nej, och man ser ju också, vad blev det åt andra hållet för Mozilla?
00:23:55
– Ja.
00:23:56
– De gjorde skitmycket bra grejer som är bra för internet och så har vi typ alla använt.
00:24:02
Och sen så stänger de ner det för att de måste spara in.
00:24:07
– Ja, nämen verkligen. Och på tal om att silla så fick de också skit mycket skit häromdagen.
00:24:11
Jag kan bara nämna det i förvifarten här för att de ville ta emot donationer i bitcoin.
00:24:17
Och då var hela internet så här "Vad fan, ni skulle ju vara de goda".
00:24:23
Så att de ändrade på det faktiskt. Så att nu sa de "Nej, vi gör inte det. Förlåt".
00:24:29
Så jag vet inte, det känns också som att någon har känt att bitcoin är hett, nu kör vi.
00:24:36
Och alla bara, har ni tänkt på klimatpåverkan? Och de bara, nej, okej, ja.
00:24:42
Just det, just det.
00:24:46
Mycket som poppar upp.
00:24:50
Ja, det är mycket grejer som händer samtidigt.
00:24:54
Det var inte allt för länge sedan, eller kanske var flera år sedan nu, det är pre-pandemi och alltihopa.
00:25:02
Med Leftpad som var förra stora grejen.
00:25:07
Nu kommer jag inte ihåg när det var för tiden är som den är för tillfället.
00:25:12
Eller svinlänge sedan.
00:25:14
Men det var också världens största grej när de tog bort Leftpad-paketet på NPM.
00:25:21
Jag tror utvecklaren blev förbannade på NPM och avpublicerade det.
00:25:27
Jag tror det var 2015.
00:25:29
Ja det kan faktiskt vara så länge sedan.
00:25:31
Men jag kommer ihåg att det är därför NPM har de här processerna nu där de kan återställa gamla versioner.
00:25:37
För det fanns inte då.
00:25:39
Jag tänkte precis på det. De måste verkligen lära sig det där.
00:25:44
Någon hade ett helvete postmortem och fick en massa action points och bara hade det löst den här gången.
00:25:51
Exakt.
00:25:52
Det ska bli spännande att se om GitHub faktiskt kommer ut med någon kommentar.
00:25:57
Jag har inte sett någon än från dem i och med att de har fått så oerhört mycket kritik från många på att de har bannat kontot.
00:26:06
Alla som bara ser deras resonemang.
00:26:07
Jag tycker att det är ett resonabelt gjort av dem att kontot är bannat.
00:26:13
Men det ska bli spännande att se om de kommer ut med det och om de ändrar sig eller hur det ser ut.
00:26:18
För den här personen, utvecklaren, han skrev typ någon tweet om att jag har flera hundra andra bibliotek som också ligger på NPM men högstas på GitHub.
00:26:28
Vad gör jag med dem nu typ?
00:26:30
– Ja.
00:26:32
– Jävlar alltså.
00:26:36
Vad stökigt.
00:26:38
Ja, det är en spännande tid. Jag förstår ju, varje gång sånt här händer så hör man ju också kritik från icke-webbutvecklare eller icke-javascriptutvecklare
00:26:47
som bara så här, hur, varför, npm, npm, hur kan det ens funka? Hur tror ni att det här kan funka ens?
00:26:55
Men samtidigt gör det ju det, förutom några incidenter som händer lite då och då.
00:27:02
Och i det här fallet så är det ju inte NPM som har gjort något konstigt egentligen.
00:27:06
Folk borde väl kanske pinna sina versioner lite mer i Package.json så att man inte bara automatiskt uppdaterar sig en ny version så fort den släpps.
00:27:16
Ja, absolut. Använd lockfilen people!
00:27:19
Ja, exakt.
00:27:21
Så att det kan väl vara en viktig poäng att de här säger.
00:27:25
MPM har också en ganska ny feature som jag tror kom i höstas kanske.
00:27:31
Där man i PackageJ som kan sätta in overrides och skriva in vilka paket man vill ska köpa och vilka versioner.
00:27:37
Men att de då också gäller för alla paket i hela trädet.
00:27:41
Alltså även om det är beroenden som dina paket har.
00:27:43
Mm.
00:27:45
I det här fallet om man hade blivit stoppad av att något paket man berodde på berodde på colors till exempel.
00:27:52
Då hade du bara kunnat sätta in Overrides i din Package.Json och så hade allt funkat igen.
00:27:57
- Jaha.
00:27:59
Ska inte alla bara dra hem allt lokalt och köra Zimlink på fil?
00:28:04
Eller köra fil på Zimlink?
00:28:05
- Åh gud, jag tycker att allt ska ligga bara på burken.
00:28:07
Allt ska ligga på burken.
00:28:09
- Nej men det är ju lite kul.
00:28:12
Det är ju kul för det är så himla fragilt.
00:28:15
Och då och då så blossar diskussionen upp om hur fragilt det är.
00:28:20
Den här bloggposten när någon i detalj förklarade hur han skulle använda NPM för att korrupta massa saker.
00:28:26
Den här grejen, det var väl någonting annat som var för ett tag sedan också.
00:28:31
Och så blossar diskussionen upp om, "Vad håller vi på med, vad håller vi på med?"
00:28:35
Och sen så kommer vardagen igen och så lägger det sig liksom.
00:28:38
Ja, sen fortsätter ju tåget rulla så att säga.
00:28:43
Det är inte så att tåget stannar utan det är att det hoppar till lite ibland.
00:28:47
Och sen kör vi vidare.
00:28:51
- Ja, signalfel, jävlar.
00:28:54
- Exakt, exakt. Det är allt som händer.
00:28:57
Ja, jag tror kanske det är allt vi har den här gången.
00:29:01
Jag slänger in en jäkla massa länkar i beskrivningen.
00:29:04
Om man inte har läst i kaps sig på det här redan så kan man ju få göra det, tycker jag.
00:29:10
- Ja, lös problemet. Internet kommer tacka dig.
00:29:15
Ingen kommer med en lösning till oss hur vi slipper såna här saker.
00:29:19
Med det sagt, tack för idag. Vi hörs igen om två veckor så saves oss länge.
00:29:28
Det gör vi. Hej då!
00:29:30
[Outromusik]
Tillbaka upp