中身のないnpmパッケージ「-」が70万回以上ダウンロードされる— その理由とは | POSTD
名前が1文字の「-」という謎めいたnpmパッケージは、2020年にレジストリで公開されて以来、70万回以上ダウンロードされています。 さらに、このパッケージには有効なコードが含まれていません。では、一体なぜこれほど多くダウンロードされているのでしょうか? npmパッケージ「-」の中身 「-」というnpmパッケージは、2020年初めにnpmレジストリで公開されてから、約72万回もダウンロードされてきました。 パッケージのバージョンは0.0.1のみで、ファイルは3つです。 tar tvf 0.0.1/--0.0.1.tgz package/dist/index.js package/package.json package/README.md これらのファイルは主にマニフェスト(package.json)とindex.jsで、特に面白い点はなく、スケルトンコードが書かれているだけです。 マニフ
‘-‘ という名前の、中身が無いのに70万回ダウンロードされてる謎のnpmパッケージ
– という名前の JavaScript/TypeScript パッケージについて警告を発している記事が話題となっています。 このパッケージ、中身はほとんど空で、Readme と、dev で TypeScript を動かせるようにするライブラリ群を呼ぶ箇所だけのもの。 しかし、この “-” を使っている他の npm パッケージが 50個以上あり、約一年前の公開時からのトータルのダウンロード数は72万回にもなります。 しかし、”-” を読み込んでいるパッケージを見てみても、”-” が必要そうには見えません。 警告記事では、この無名のパッケージが密かに使われるようになった原因が、npm コマンドのコマンドラインを打つときのミスタイプにあるのではないかとの仮説を立てています。 つまり、someFlag というオプションを使い npm i -someFlag somepackage と打つべきところ
node-static – 簡単に静的コンテンツを提供できるWebサーバー
MOONGIFTはオープンソース・ソフトウェアを紹介するブログです。2021年07月16日で更新停止しました node-static は、node のコマンドラインユーティリティです。マシン上の任意のディレクトリで起動することで、ローカルなWebサーバを立ち上げることができます。ソフトウェア開発やテストでは、Webサーバが必要になることが少なくありません。また、HTMLやCSSを使ったデザインの作業でも必要となることがあります。しかし、Webサーバーを用意したり、既存の環境を都度変えることは面倒なことです。node-static は確認作業やテストといった場面で気軽に利用できるWebサーバです。 node-static の主な特徴 1) 起動は簡単 カレントディレクトリで起動した例を以下に示します。 $ static serving "." at http://127.0.0.1:8080
[Node.js]WindowsにNode.js(npm)をインストールしよう。 - Qiita
npmを使用することが多いのでWindowsでのNode.jsのインストール手順をまとめました。 ※2019/02時点ではv10.15.1 +Node.jsの確認 まずはPCにNode.jsがインストールされているかの確認をします。 1.コマンドプロンプトを立上げる。 2.以下のコマンドのいずれかを入力する。 3.以下の様にバージョンが表示されればインストール済みです。 また以下の様なメッセージが表示されればインストールされていません。 +インストール 1. Node.jsインストーラーのダウンロード 以下公式サイトに移動します。 Node.js公式 Windows用の10.15.1 LTS をクリックしてインストーラーをダウンロードします。 2. Node.jsのインストール ダウンロードしたインストーラ(.msi)を実行します。 インストール画面が起動したら[Next]をクリックします
![[Node.js]WindowsにNode.js(npm)をインストールしよう。 - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/f42ce8d6d070a7ee2daae09a9636a25cc401f6fb/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCTm9kZS5qcyU1RFdpbmRvd3MlRTMlODElQUJOb2RlLmpzJTI4bnBtJTI5JUUzJTgyJTkyJUUzJTgyJUE0JUUzJTgzJUIzJUUzJTgyJUI5JUUzJTgzJTg4JUUzJTgzJUJDJUUzJTgzJUFCJUUzJTgxJTk3JUUzJTgyJTg4JUUzJTgxJTg2JUUzJTgwJTgyJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9NTYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz1lMmM3YjhjNTJmNWFmMmNmM2Q0MGZkODBiY2JmNjdiYg%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBrdW1hcGV0YSZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9M2RhYjcyNThlYWQ2NjNiNWUxNDRiZjI1OGRiNzQ4MWE%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3Df8d84eb894d240d1d135caaa94ad8fa6)
Windows 10へNode.jsをインストールする - Qiita
概要 Node.jsをNode.jsのサイトからダウンロードしてインストールします。 Node.jsの利用方法を説明します。 Node.jsのインストール Node.jsのダウンロードサイトを開きます。 Node.js - ダウンロード 「LTS版」の《Windows Installer》をクリックしてダウンロードします。 ダウンロードしたインストールファイルをクリックしてインストーラーを開きます。 《Next》ボタンをクリックします。 《I accept the terms in the Licence Agreement》(ライセンス契約の条項に同意します)をチェックして、《Next》をクリックします。 《Next》をクリックします。(必要であればインストールフォルダを指定する) 《Next》をクリックします。(基本的にはデフォルトのまま) 《Next》をクリックします。(ネイティブア
NPMとleft-pad : 私たちはプログラミングのやり方を忘れてしまったのか? | POSTD
さあ開発者のみなさん、真面目な話の時間です。読者の皆様はおそらくすでにお気づきでしょうが、今週、ReactやBabelやその他大量の有名なNPMパッケージ群が壊れました。そしてその原因は少々驚くようなものでした。 ReactやBabel、その他のパッケージが依存する、left-padというシンプルなNPMパッケージがあります。この記事を書いている現段階で、このパッケージは GitHub上で11 star となっています。このパッケージは全体で 11行のシンプルな行があり、文字列の左を詰める基本的な関数が実装されている というものです。上記のリンクが消えた場合に備えて、コード全体をいかに掲載しておきます。 module.exports = leftpad; function leftpad (str, len, ch) { str = String(str); var i = -1; if
Node.js向けリポジトリnpm、とあるモジュールの作者からその所有権を勝手に剥奪して騒動に | スラド オープンソース
Node.js向けパッケージの配布に使われているnpmの運営元が、npmで配布されている「kik」というモジュールの著者のAzer Koçulu氏からその所有権を無断で剥奪したという。これを受け、Koçulu氏は自身が作成した全モジュールについてnpmでの公開を停止(unpublish)した。そのため、これに依存していたモジュールのインストールができなくなるトラブルに発展している模様(Azer Koçulu氏のブログ、日本語意訳、npm パッケージの unpublish に関するゴタゴタの大まかなまとめ - ヤルキデナイズド、ZDNet Japan)。 数週間前、Koçulu氏の下にkikというアプリを提供しているkik interactiveの弁護士から「kikは我々の商標であり、npmからあなたのkikを削除しろ」という申し立てメールが送られてきたそうだ。氏はこれを拒否したそうだが、そ
npm パッケージの unpublish に関するゴタゴタの大まかなまとめ - ヤルキデナイズド
(最終更新:3月24日16:50ごろ) 事件の流れ kik の作者が同名の会社 KIK の弁護士特許出願代理人からパッケージ名を変更するよう要請される 作者が拒否したところ弁護士代理人は npm の運営にコンタクトする 運営が作者の許可なくパッケージを unpublish するパッケージの所有権を移し替える 作者がこれに反発し自身が所有する270あまりのパッケージをすべて unpublish する I’ve Just Liberated My Modules — Medium unpublish されたパッケージは npmjs.com からダウンロードできなくなる unpublish されたうちのひとつである left-pad に間接的に依存したパッケージが多数あったため世界中でビルドがぶっ壊れる npmjs.org tells me that left-pad is not availa
A discussion about the breaking of the Internet
Hey everyone — I’m the head of messenger at Kik. I wish this didn’t have to be my first post on Medium, but open source is something that I care about. I’ve published a few meager open source projects in the past, things that aren’t groundbreaking but that I thought might be useful to other people, and I rely on countless others every day. I found out about this problem like a lot of you, when our
left-pad.io
8 d'b o 8 o 8 8 8 8 8 .oPYo. o8P o8P .oPYo. .oPYo. .oPYo8 o8 .oPYo. 8 8oooo8 8 8 ooooo 8 8 .oooo8 8 8 8 8 8 8 8. 8 8 8 8 8 8 8 8 8 8 8 8 `Yooo' 8 8 8YooP' `YooP8 `YooP' 88 8 `YooP' ..:.....::..::::..:::::::8 ....::.....::.....:..::..:.....: :::::::::::::::::::::::::8 :::::::::::::::::::::::::::::::: :::::::::::::::::::::::::..:::::::::::::::::::::::::::::::: Welcome to left-pad.io! ## History On M
npm Blog Archive: kik, left-pad, and npm
The npm blog has been discontinued. Updates from the npm team are now published on the GitHub Blog and the GitHub Changelog. Earlier this week, many npm users suffered a disruption when a package that many projects depend on — directly or indirectly — was unpublished by its author, as part of a dispute over a package name. The event generated a lot of attention and raised many concerns, because of
依存するパッケージは厳選しよう - methaneのブログ
japan.zdnet.com JS界隈が大騒ぎになった事件だけど、こういった事件自体は完全に防ぐことは不可能だと思う。 今回は依存ライブラリが削除されるだけで済んだけど、 npm install するだけで ~/.ssh ディレクトリを zip にしてどこかに送信するような悪質な攻撃であれば、単にCIが止まるどころでなく、世界中のエンジニアの秘密鍵がばらまかれてあちこちのサーバーにssh可能な事態になったわけで、そんな悪質な攻撃を bugfix なマイクロバージョンアップとして公開される事もありえたわけだ。 第三者のパッケージに依存するということは、それだけのリスクを背負い込むということだ。だが、逆に外部のライブラリに依存しないようにすると、生産性が落ちてしまう。 なので、コードを読む、信頼できるメンテナの公開しているパッケージを選ぶなどといった方法で、リスクとメリットのバランスを取って
Node.jsのパッケージマネージャ「npm」まわりで大混乱--多くのビルドが一時的に破壊
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サーバサイドのJavaScript環境であるNode.jsを使用するアプリケーションの開発現場に米国時間3月22日、大きな混乱が生じた。Node.jsのパッケージマネージャとして広く普及している「npm」の中核モジュールの1つが公開停止になったためだ。 膨大な数のプロジェクトが巻き込まれたこの混乱は、プログラマーのAzer Koçulu氏と、npmを管理する組織、「Kik」というインスタントメッセージアプリの関係者という三者が絡むいざこざに端を発している。 いざこざの結果、Koçulu氏はnpmパッケージに存在する「left-pad」という17行のモジュール(空白行を除くと11行)を削除するに至った。Node.jsを使用する数多くのプロ
Shibu's Diary: ソフトウェアの世界は螺旋を周りながら進歩している
渋日記@shibu.jp 渋川よしきの日記です。ソフトウェア開発とか、ライフハックを中心に記事を書いていきます。 npm周りでごたごたがありました。その前にはCocoaPodの問題もありました。その前にはGemの話も話題になりましたよね。 うんこれ。2年ぐらい前にnode.jsで開発していた時にも、node.jsのnpmのエコシステムいつか破綻するよなぁって思ってた。で、去年cURL as DSL作ったんだよね。Rubyのコード生成はまだないけどね。 https://t.co/1C0yw0KPib — 渋川よしき (@shibu_jp) March 6, 2016 上記のツイートはgemに絡んでのツイートであって、コンテキストはnpmではなかったのだけど、なんか予言めいたツイートに見えちゃったのかもしれないけど偶然です。ここまで、いくつかの文化の変化がありました。 SourceForgeや
npmからkikとその他諸々が消されたまとめ
npmとは、node.jsにおけるパッケージシステムのことだ。npmを使えば、他人の書いたnode.jsベースのプログラムとライブラリの入手と利用がとても簡単になる。 そのnpm界隈が混乱している。発端は以下のURLだ。 I’ve Just Liberated My Modules — Medium Azer Koçuluはkikという名前のnpmパッケージを公開していた。このkikというソフトウェアの中身についてはここでは関係がない。 さて、それとは別に、kik.comというスマフォ用のチャットアプリを出しているKik Interactive社がいて、kikという名前のパッケージをnpmで出したいので、名前を明け渡すように要求した。 Azerはこの要求を拒否した。すると、Kik Interactive社はnpmの管理者に片っ端からメールを投げまくり、そのうちの一人が反応して、Azerの意
【意訳】たった今、npmのパッケージを解放しました。
このポストは以下の記事を意訳したものです。 I’ve Just Liberated My Modules - Medium.com Twitterでフロント系のエンジニアの方がざわついていたので訳しました。間違いが有りましたら、ご指摘いただけると幸いです。 以下、意訳。 数週間前、特許弁護士が私にメールをよこしました。メールの内容によると、私の作成した"kik"パッケージをnpmから削除せよ、とのことでした。返答としては"No"でしたが、弁護士からは次のような返信が来ました。"悪いとは思いますが、kikは我々の登録済の名称ですので、あなたの家に弁護士がやってきてあなたのアカウントを取り下げてもらうことになるでしょう。" 私が"kik"のコードを書き始めたとき、同名の企業があるなんて知りませんでしたし、企業に名前を変えさせられるなんてゴメンです。要求を拒絶された彼らは、npmのサポートに対し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - millermedeiros/gh-markdown-cli: Node.js command-line tool to batch convert Markdown files into HTML
design | kazscape
I’ve Just Liberated My Modules
https://gist.githubusercontent.com/azer/db27417ee84b5f34a6ea/raw/50ab7ef26dbde2d4ea52318a3590af78b2a21162/gistfile1.txt