Package Managers Are Evil
8 months ago
- #programming
- #package-management
- #dependencies
- 包管理器自动化了依赖地狱,使得开发者更容易在不充分考量的情况下积累依赖项。
- 依赖即是负债;每一个依赖都会增加潜在的安全漏洞和错误风险,而这些风险将由使用者承担。
- 许多语言缺乏明确定义的包概念,导致出现多个包管理器,甚至催生了管理包管理器的工具。
- 对第三方代码的高度信任却缺乏严格审查,这是编程领域的一个社会性问题,会带来潜在的安全风险。
- 编程行业过于年轻,尚未形成可靠的行业智慧,导致人们依赖那些可能并不正确的所谓专家意见。
- 提倡手动管理依赖作为更好的方式,迫使开发者对每个依赖进行批判性思考。
- 拥有强大标准库的语言(如Go)减少了对第三方包的依赖,从而缓解了依赖问题。