V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
imdong
V2EX  ›  职场话题

淘宝 3.25 思考,如果在引用的第(zi)三(ji)方(de)包中做手脚...

  •  
  •   imdong · 2020-03-25 16:13:01 +08:00 · 3365 次点击
    这是一个创建于 1715 天前的主题,其中的信息可能已经有所发展或是发生改变。

    RT,现在开发肯定会引用一大堆第三方开源库的包。

    如果引用了一个在自己控制的包,那么是不是...

    例如: Ant Design 彩蛋事件

    12 条回复    2020-03-26 10:40:01 +08:00
    murmur
        1
    murmur  
       2020-03-25 16:19:31 +08:00
    这事又不是没出过,npm 有人做那种很基础的包然后删提交,结果 n 多人打包不过
    所以要养成好习惯啊,能不升级千万不要升级,升级就意味着要覆盖测试
    tabris17
        2
    tabris17  
       2020-03-25 16:21:36 +08:00
    如果公司体量大了,应该使用自己的私有源,项目中使用的第三方包都需要经过安全审计
    xkeyideal
        3
    xkeyideal  
       2020-03-25 16:28:54 +08:00
    基本可以肯定问题出在了第三方包上,如果是自己的代码,bug 不会这么久都没有修复。
    大公司肯定有自己的镜像站,而且会锁版本的,这种在第三方包上打洞的难度也很高,而且内部的审计系统应该会留有记录。打包记录,堡垒机记录,镜像更新记录,代码提交记录等都需要查,淘宝内部本周 007 估计逃不掉了,很多人会被 325
    murmur
        4
    murmur  
       2020-03-25 16:34:04 +08:00   ❤️ 3
    我才发现,天道轮回啊,当年开源包里埋彩蛋害了一票人,现在被自己人的 alert 坑了,淘宝估计要全员代码审查,这次埋个 alert 还带文字信息你没发现,那是不是还有 crash
    kaleidoscope
        5
    kaleidoscope  
       2020-03-25 17:05:00 +08:00
    我以为是绩效 3.25 。。
    easylee
        6
    easylee  
       2020-03-25 17:09:05 +08:00 via Android
    @kaleidoscope 不负责任的想,这是某个被 325 的员工埋下的 325 彩蛋。
    royzxq
        7
    royzxq  
       2020-03-25 17:23:50 +08:00
    @murmur antd 那是蚂蚁金服的。。orz 和淘宝关系不大了
    neuthself
        8
    neuthself  
       2020-03-25 17:26:08 +08:00
    ant design pro 的圣诞彩蛋是 18 年圣诞节的时候,印象深刻
    l00t
        9
    l00t  
       2020-03-25 17:26:29 +08:00
    不单纯一个 alert 吧,我看他们说日期调到 3 月 28 号之后的话,就真的打不开这个淘宝应用了。这个 bug 应该也不是存在时间很久的,因为没更新到 iOS 里最新版淘宝的都表示没发现有这个弹框。
    n313893254
        10
    n313893254  
       2020-03-25 19:18:44 +08:00
    挖一个去年的瓜:event-stream 被植入比特币后门的来龙去脉

    http://caibaojian.com/event-stream.html
    fhsan
        11
    fhsan  
       2020-03-25 20:05:20 +08:00
    羡慕阿里彩蛋,amazing
    mars0prince
        12
    mars0prince  
       2020-03-26 10:40:01 +08:00
    js 这种不是常规操作? npm 第三方库天天被动手脚
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1051 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 20:26 · PVG 04:26 · LAX 12:26 · JFK 15:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.