名為"-"的nmp包是空的,卻有超過700,000次下載
自 2020 年以來,一個名為“-”的神祕的單字母 npm 包位於登錄檔中,已獲得超過 700,000 次下載。
更重要的是?該軟體包不包含任何功能程式碼,那麼是什麼讓它獲得瞭如此多的下載量?
該軟體包只有一個版本:0.0.1,它包含三個檔案:
tar tvf 0.0.1/--0.0.1.tgz package/dist/index.js package/package.json package/README.md |
在這些檔案中——主要是清單 (package.json) 和 index.js,沒有什麼特別有趣的東西。
清單確實引入了一堆開發依賴項(devDependencies)並在“ ts-node ”元件 上呼叫了一些命令,但僅此而已。它實際上是死程式碼。
實際上無用的包“-”作為超過 50 個 npm 包的依賴項,沒有明確的解釋。
那麼,“-”是如何獲得近 720,000 次下載的呢?
當有人從終端執行 npm 命令併產生輸入打字錯誤時,該軟體包可能會被拉入。
如果您指定了一些標誌,但犯了錯誤:
npm i - someFlag somepackage
“-”和 someFlag之間的空格可能會導致 npm 引入“-”,因為具有該名稱的包確實存在。
因此,該軟體包的千倍下載計數是開發人員拼寫錯誤的結果,這似乎是合理的。
包“-”的作者 Dmitry Parzhitsky 強調該包在建立時完全符合 npm 的命名規則,並作為測試建立,對任何人都沒有任何傷害。
開發人員在終端中鍵入 npm 命令時應小心謹慎,尤其是在使用標誌時。檢查為什麼你的包 依賴 於這個神祕的包也是一個好主意。
相關文章
- Netflix旗下游戲下載總量超過1300萬次
- Python名稱空間包Python
- 港股「超股王」遊戲一年被下載1.52億次,但90%的人沒有聽過它的名字遊戲
- Appmagic:《暗黑:不朽》前兩週營收超2400萬美元 同期下載次數超過850萬次APP營收
- 記一次jar包簽名的坑JAR
- Sensor Tower:2022年Q1 TikTok下載量已超過1.75億次 成全球下載量最高的應用
- 超級簽名是什麼?超級簽名跟企業簽名有什麼區別?
- 超級簽名的原理是什麼?
- Google play下載量是App Store2.4倍,收入卻只有1/2,這是為什麼?GoAPP
- 育碧遊戲的時下困境:遊戲性是有了,沉浸感卻丟了遊戲
- 記一次talib包pip下載失敗
- 記錄一次使用drissionpage上傳下載的過程
- 剛剛下載一個最新的包,安裝有問題
- 【Python】從Jenkins下載最近一次成功構建的安裝包PythonJenkins
- Python中名稱空間包簡介Python
- Python中名稱空間是什麼?名稱空間生命週期是多久?Python
- 下載mysql的JDBC的jar包流程MySqlJDBCJAR
- 下載次數超30,000!PyPI儲存庫再次發現8個存在惡意程式碼的Python包Python
- 為Eclipse配置JSF框架所需要的jar包[官網下載]EclipseJS框架JAR
- 什麼是名稱空間?
- 11 個鮮為人知卻超實用的 Linux 命令!Linux
- day3 超過5名學生的課
- 清除python下載的錯誤包Python
- 2023年的前三週科技行業有超過10萬名工人失去工作行業
- 注意!Google Play商店超過200款軟體被感染,下載量達1.5億次!Go
- 全球下載量超過30億,這家超休閒遊戲發行商有何金手指?遊戲
- 為什麼MySQL沒有負載,但交易卻跑不動?MySql負載
- 軟體下載卻安裝不成功是如何解決
- app超級簽名是幹什麼用的?APP
- idea maven update下載未下載好的jar包IdeaMavenJAR
- 你有沒有想過: 為什麼Java中String是不可變的?Java
- Yarn 的Application 的依賴檔案和包是如何上傳下載和使用的YarnAPP
- SpringBoot透過maven引入的jar包為什麼有的沒有版本號Spring BootMavenJAR
- 總下載量超4萬次!PyPI發現11個惡意Python包竊取敏感資訊Python
- Google Play超過50萬使用者下載的賽車遊戲,其實是惡意軟體...Go遊戲
- python下載的庫包放哪裡Python
- package-make 新增自定義包的名稱空間和生成路徑Package
- deno 下載依賴包慢,沒有進度,透過更改映象加速的解決方法,不需要 npmNPM