Package manager

[azu]

パッケージマネージャーの役割の変化を見ていく

• セキュリティ
• コミュニティ
• パッケージマネージャーとして機能

[azu]

2019-02:

HNが起点としてkoa-routerのpackage ownerのtransferについての議論が起きた。
HNのタイトルはミスリーディングで方向がずれているところがあり、Issueも話の論点が多少ずれている。

• Tell HN: Node.js koa-router package transferred to unknown user | Hacker News
• The npm Blog — The security risks of changing package owners
• Is this package still active? · Issue #494 · ZijianHe/koa-router

事実としては

• npmのパッケージをsaleしようとしていた人がいた
• メールでやりとりして実際にtransferされた(金銭関係はないとしてる)
• transfer先の人はPublicなactivityが少なかった(unknownと書かれた理由)

がある。
一方で、npmはパッケージをsale自体にも色々問題はあるけど、それ自体はこの問題の一部でしかない感じ。
どちらかというパッケージがtransferされた時にtransfer先のownerがそのパッケージをどう扱うべきかという方法論がないことも関係している。
逆にパッケージ利用者がこの変更をしる手段がないという問題を持っている。(情報の非対称性)

そのためnpmではこのようなケースではpackage transferをした場合はmajorアップデートして通知するアイデアはどう?という話をしていた。

• The npm Blog — The security risks of changing package owners

このmajor強制は通知という意味ではうまく動くけど、一方で新しいownerはsecurity fixをリリースできなくなるという問題も持っている。

They certainly don’t; and can’t, because a legitimate new maintainer should be able to backport fixes as needed anyways.
Any owner can always and forever publish to any previously unused version number, and that’s how it must stay.
nodejs/package-maintenance#77 (comment)

この問題は、パッケージとして公開されているものとソースコード(一般にリポジトリにあるもの)の差を明確に見る方法がないという問題とも関連している。

• Suggestion: Provide standards around integrity between source code and published package · Issue #77 · nodejs/package-maintenance

unpkgなどのようにpublishされたもののソースコードもウェブで見られるようにした方がいいという話もでていた

[azu]

Need to update: Yarn v2について

[azu]

Introducing Package Diff (for npm) – intrinsic – Medium

[azu]

new package manager
https://entropic.dev/

• https://github.com/entropic-dev/entropic
• CJ Announces the Entropic federated package registry at JSConfEU '19 - YouTube
• https://twitter.com/azu_re/timelines/1134961724384088065

[azu]

https://npm.community/t/cant-update-tar/7808
https://npm.community/t/release-npm-6-9-1-next-0/6296/4 この辺も
auditから話が膨らんだ気配がある
https://gist.github.com/aeschright/8ed09cbc2a4aee00fcb4ad35086d76a6