JavaScript-сообщество упускает шанс на исправление экосистемы после атаки на цепочку поставок

После крупнейшей атаки на цепочку поставок JavaScript-сообщество оказалось перед выбором: менять старые подходы или продолжать прежнюю практику. Автор статьи предлагает целый ряд решений, начиная от разработки стандартной библиотеки и заканчивая новыми методами управления зависимостями. Однако он считает, что индустрия вряд ли сделает это, ограничившись лишь символическими действиями. В течение многих лет эксперты предупреждали о рисках, связанных с текущими методами управления зависимостями, и настало время для перемен. Лидеры в области, такие как Google и Mozilla, могли бы взять на себя инициативу и создать стандарты, способные устранить множественные зависимости, такие как left-pad. Также есть надежда, что npm пересмотрит свой дизайн и внедрит более современные методы управления пакетами, основываясь на успешных практиках из других областей. Однако, скорее всего, индустрия ограничится минимальными изменениями, такими как внедрение двухфакторной аутентификации, и не извлечет уроков из произошедшего. Это расстраивает, но, похоже, именно так будет продолжаться в будущем.