Problém s npm 5.7.0 na Linuxech

Ve středu vydaná "npm@next" verze 5.7.0 správce balíčků pro JavaScript npm (Wikipedie, Node Package Manager) přinesla řadě uživatelů Linuxu nečekanou nepříjemnost. V závislosti na způsobu instalace a ve spojení s příkazem sudo mohlo dojít ke změně vlastníka u systémových souborů, také například /. Chyba je opravena v před několika hodinami vydané verzi npm 5.7.1 [reddit].

Chápal bych, že pro updejtování JavaScriptových knihoven bude potřeba ten příkaz spustit jako auživatel, který má přístup do adresáře s určitou webovou aplikací. Ale proč to teda lidé spouštějí pod rootem?

23.2.2018 17:19 koroptev
Rozbalit Rozbalit vše Re: Problém s npm 5.7.0 na Linuxech

no mne zase hlava nebere ze bych mel mit napr "binarku" pro spousteni typescriptu nebo babelu v kazdem jednom projektu s natahanymi tisici soubory zavislosti kdyz je to ideova obdoba veci jako gcc nebo ls ktere chci mit systemwide k dispozici pro vsechny uzivatele

23.2.2018 18:05 Petr
Rozbalit Rozbalit vše Re: Problém s npm 5.7.0 na Linuxech

No treba prave kvuli tomu, ze nemate poneti co je v tech 1000 ruznych skriptech co to taha buhvikde z netu...

23.2.2018 20:35 koroptev
Rozbalit Rozbalit vše Re: Problém s npm 5.7.0 na Linuxech

to je ekvivalentni vyroku "nechci mit gcc v /bin ale nekde v home uzivatele protoze si nemuzu but jist temi tisici zavislostmi co si to s sebou v distribuci dotaha"; nemuzes protoze to neni v tvych silach; je to stejna vira jako vira v to ze ty js zavislosti budou ok

24.2.2018 16:14 OldFrog {Ondra Nemecek} | skóre: 36 | blog: Žabákův notes | Praha
Rozbalit Rozbalit vše Re: Problém s npm 5.7.0 na Linuxech

To není správná analogie. Do /bin instaluje distribuční balíčkovací systém, kterému z podstaty věci mohu a musím důvěřovat.

Pokud do systému pustím x dalších balíčkovacích systémů (například npm), zvyšuju riziko a pravděpodobnost problémů.

-- OldFrog

24.2.2018 21:35 koroptev
Rozbalit Rozbalit vše Re: Problém s npm 5.7.0 na Linuxech

z jake podstaty veci? vzdyt ta podstata je uplne strjna v obou pripadech..

v obou pripadech se o ty balicky staraji "jen" lidi

27.2.2018 19:44 Petr
Rozbalit Rozbalit vše Re: Problém s npm 5.7.0 na Linuxech

U rpm je nejaky spravce, ktery zarucuje urcitou konzistenci, bezpecnost atd., baliky stahujete z jednoho zdroje, u npm se tahaji url tisice souboru z registry a nasledne data ruznych zdroju nad kterymi nema npm zadnou kontrolu. Takze si na server jako root instalujete neco z githubu kde buhvikdo buhvico dal. Uz vidite rozdil?

23.2.2018 20:17 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Problém s npm 5.7.0 na Linuxech

Je to něco jako pip - a třeba numpy nebo tensorflow taky chceš mít dostupné pro všechny uživatele, ne?

24.2.2018 17:17 playback
Rozbalit Rozbalit vše Re: Problém s npm 5.7.0 na Linuxech

No to rozhodně ne. Na to je virtualenv. Každý ať má, co potřebuje.

24.2.2018 20:57 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Problém s npm 5.7.0 na Linuxech

Takže jako na matfyzu budeme mít v homech 500 numpy?

25.2.2018 08:24 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Problém s npm 5.7.0 na Linuxech

A to nemate v distribuci numpy? Prinejhorsim potom patri do /usr/local nebo do /opt, rozhodne ne do /lib, /lib64 nebo /bin

I can only show you the door. You're the one that has to walk through it.

25.2.2018 13:55 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Problém s npm 5.7.0 na Linuxech

OK, numpy byl blbej příklad, vezmi si třeba ten tensorflow.

Samozřejmě, pip defaultně instaluje do /usr/local. První komentář tvrdil, že to mají mít uživatelé v home.

26.2.2018 07:28 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Problém s npm 5.7.0 na Linuxech

Hm, tak me to tak samozrejme neprijde, protoze na RHEL-7 pip (z epel repozitare) defaultne instaluje do /bin a /lib.

I can only show you the door. You're the one that has to walk through it.

Problém s npm 5.7.0 na Linuxech

Komentáře