да даже без препрода - достаточно корректно настроить ci и зависимости не будут сами обновляться
даже команда у npm отдельно для использования в пайплайнах есть npm ci
тогда деплой будет постоянно с одним и тем же набором зависимостей Ответить
Межпространственный Лимонад
из серии можно, а зачем... теперь скрин выше, это ответ на вопрос зачем Ответить
Кованый Редактор
если прод сам обновляет до минорных версий, да еще и библиотеки без обратной совместимости, то за прод руки девопсу оторвать, а за выбор библиотеки - техлиду Ответить
Аметистовый Колдун
байт на комменты
Из этого весь тредс состоит Ответить
Хрустящий Хорек
Это фейк, ничего само по ночам не обновляется Ответить
Модный Шериф
В ВордПресе тоже такая история, нужно отключать авто обновления, чтобы не дай бог что то сломалось Ответить
Комичный Врач
есть вероятность автообновления. В одном проекте стоял ci/cd, запускался по ночам. И если npm audit находит критическую уязвимость, запускает автообновление пакета. Прогоняет тесты и заливает на сервер. Если какой-то функционал тестами нормально не покрыт, то конечно есть риск появления ошибки. Но выбирать между безопасностью и таким риском - в некоторых проектах безопасность превыше всего... Ответить
Тундровый Наемник
Не обновляются, делается Лок файл пакетов чтобы такого не было. Айтишники накосячили Ответить
раскрыть ветку (1)
Лохматый Осьминог
Навеяло историю из первых книжек по компьютерной грамотности, где секретарше поручили подготовить письмо, а она до обеда даже не приступала, а когда начальник спросил, такая: "Ой, знаете, я письмо уже набрала и отформатировала (олды помнят), но внезапно появился вирус и стёр его. Придётся заново набирать" 💅😄 Ответить
Комментарии (9)
даже команда у npm отдельно для использования в пайплайнах есть
npm ciтогда деплой будет постоянно с одним и тем же набором зависимостей
Из этого весь тредс состоит