返回首页
最新
我之前问过这个问题,虽然这种感觉消失了一段时间,但它又悄悄回来了。<p>人工智能显然是有用的,但我开始感到被不断涌现的人工智能信息所压垮,尤其是那种“这将改变一切”的论调。<p>我认为这是我相对短暂的职业生涯中所见到的重大技术变革,而这种奇怪的压力让我感到必须不断跟上,否则就有可能落后(看看所有的裁员情况)。<p>你有什么想法?有什么担忧吗?
鉴于当前npm供应链的安全漏洞,我开发了safe-install:<p><a href="https://www.npmjs.com/package/@gkiely/safe-install" rel="nofollow">https://www.npmjs.com/package/@gkiely/safe-install</a><p>它提供了一些我希望npm能够内置但实际上并没有的保护措施。<p>类似于Bun的可信依赖,它允许您默认禁用安装脚本,并定义一个允许运行构建/安装脚本的依赖列表:<p><a href="https://bun.com/docs/guides/install/trusted" rel="nofollow">https://bun.com/docs/guides/install/trusted</a><p>它还支持阻止特殊的子依赖,类似于pnpm的`blockExoticSubdeps`设置:<p><a href="https://gajus.com/blog/3-pnpm-settings-to-protect-yourself-from-supply-chain-attacks#2-set-blockexoticsubdeps" rel="nofollow">https://gajus.com/blog/3-pnpm-settings-to-protect-yourself-f...</a><p>我原本希望npm最终会添加类似的功能,但似乎短期内不会实现,因此我制作了一个小包来满足这个需求。