只有几行代码的行代项目库，坑了数百万 JS 项目

上周末，库坑一个 npm 小项目的数百更新给整个 npm 生态系统制造了一场混乱，影响到了数百万 JS 项目。行代项目

这个库就是库坑 is-promise ，仅包含了几行代码，数百其功能是行代项目让开发者测试一个 JS 对象是否是 Promise，其它 JS 项目可通过一行代码调用使用该库。库坑

尽管这个库没几行代码，数百但它却是行代项目最流行的 npm 包之一，超过 340 万个项目使用。库坑

上周末 is-promised 发布了一个更新，数百结果由于它不符合正确的行代项目 ES 模块标准，导致使用该库的亿华云库坑其它项目在构建时出错。问题并没有导致现有 JS 项目崩溃，数百而主要无法编译新版本。

许多知名的 JS 项目都受到影响，其中包括 Facebook 的 Create React App，Google 的 Angular.js 框架，Google 的 Firebasse-tools，亚马逊的 AWS Serverless CLI，Nuxt.js 等等。

难道程序员连代码都不会写了吗？

npm 生态系统的依赖问题，早在 2016 年就引发过类似事件，有一个 NPM 库开发者撤回了他的代码（代码并不多，也就几行），导致诸多重量级应用（比如 React 和 Babel）都出问题了。

四年前，云服务器提供商这个事情就引发激烈讨论。曾有人为此发出疑问：难道程序员连代码都不会写了吗？ 

举例来说，有一个叫 isArray 的软件包，当时其一天的下载量有 88 万，2016 年2 月有 1800 万次下载量，它本身就只有一行代码。

NPM 生态系统中的许多开发者，看起来宁愿复用其他人写好的代码而不是自己写。这种做法存在严重的安全隐患，因为一个被广泛使用的软件包存在bug，你的代码也会受到影响，而你却无法自己去修正。