Телеграмм чат группы nodejs

а yarn why quick-format-unescaped что показывает?

$ yarn why quick-format-unescaped
yarn why v1.22.4
[1/4] Why do we have the module "quick-format-unescaped"...?
[2/4] Initialising dependency graph...
[3/4] Finding dependency...
[4/4] Calculating file sizes...
=> Found "quick-format-unescaped@4.0.2"
info Reasons this module exists
   - "pino" depends on it
   - Hoisted from "pino#quick-format-unescaped"
info Disk size without dependencies: "32KB"
info Disk size with unique dependencies: "32KB"
info Disk size with transitive dependencies: "32KB"
info Number of shared dependencies: 0
Done in 2.18s.

но

в package.json у pino прописана версия 4.0.1

Konstantin in Node.js — русскоговорящее сообщество

14:35пожаловаться #1

K

Grigorii K. Shartsev

Что-то лучше, чем uglifyjs?

Есть ещё тулзы, кстати, более интерпрайз ориентед

14:38пожаловаться #2

y

Вадим

всем привет

у меня проблема: pino.js использует

quick-format-unescaped@4.0.1

но в yarn.lock для quick-format-unescaped@4.0.1 под капотом используется версия 4.0.2, которая ломает работу pino

кроме pino никакой пакет больше не использует quick-format-unescaped
как понять кто добавляет эту версию и как вернуть все на место?
(удаление yarn.lock и node_modules с последующей инсталяцией не помогают - в yarn.lock снова появляется версия 4.0.2)

yarnl.lock

pino@^6.11.1:
  version "6.11.1"
  resolved "https://registry.yarnpkg.com/pino/-/pino-6.11.1.tgz#5af2d5395cfe625ead9fe64a3b51a4802cd2598e"
  integrity sha512-PoDR/4jCyaP1k2zhuQ4N0NuhaMtei+C9mUHBRRJQujexl/bq3JkeL2OC23ada6Np3zeUMHbO4TGzY2D/rwZX3w==
  dependencies:
    fast-redact "^3.0.0"
    fast-safe-stringify "^2.0.7"
    flatstr "^1.0.12"
    pino-std-serializers "^3.1.0"
    quick-format-unescaped "^4.0.1"
    sonic-boom "^1.0.2"

quick-format-unescaped@^4.0.1:
  version "4.0.2"
  resolved "https://registry.yarnpkg.com/quick-format-unescaped/-/quick-format-unescaped-4.0.2.tgz#dd9ff79fda5e582799cb4e9cbdc9e3f2c7db1266"
  integrity sha512-HNPqtTHgal9dBpJxibFGgOEmlaTbwEbplrR+oOiWp9aNFlFKBYfkbvvF8VrJPK65okrZuGOwHKLfe7/gT6NWuw==

а что не так то?)
Ты же сам указал, что твой пакет может обновиться до любой версии

14:39пожаловаться #3

В

а что не так то?)
Ты же сам указал, что твой пакет может обновиться до любой версии

у меня он не прописан - это зависимость pino
кто его обновляет?
у pino в package.json прописана версия 4.0.1 - кто устанавливает 4.0.2?

14:40пожаловаться #4

y

Вадим

у меня он не прописан - это зависимость pino
кто его обновляет?
у pino в package.json прописана версия 4.0.1 - кто устанавливает 4.0.2?

вот такая форма записи версий ^4.0.1 это позволяет делать

Герман in Node.js — русскоговорящее сообщество

14:41пожаловаться #5

Г

Люди добрые, можете подсказать, как поступить?
Требуется от сервера отправить в приложение (Unity, скрипт на c#) ответ при действии какого-то другого пользователя.
Почему именно от сервера? Потому что делать кучу запросов в секунду к серверу, чтобы что-то узнать, не очень-то и красиво. Погуглил, понял, что мне вебхук нужен.
Каким образом это сделать, если я не знаю юрл, чтобы слать данные?

14:41пожаловаться #6

В

вот такая форма записи версий ^4.0.1 это позволяет делать

я понимаю что такая запись позволяет, но для этого кто-то должен сказать сделай апгрейд, а никто не говорит такое - удаляю yarn.lock и node_modules и делаю yarn install - должны установиться те зависимости что прописаны без апгрейдов, а по факту устанавливается 4.0.2

❄Astik❄ in Node.js — русскоговорящее сообщество

14:43пожаловаться #7

❄

Кто может сказать, на каком сайте лучше научиться nodejs ?

Илья | 😶 ☮️... in Node.js — русскоговорящее сообщество

14:43пожаловаться #8

И

❄Astik❄

Кто может сказать, на каком сайте лучше научиться nodejs ?

google.ru

14:43пожаловаться #9

В

❄Astik❄

Кто может сказать, на каком сайте лучше научиться nodejs ?

поищи видео Ильи Кантора по ноде

❄Astik❄ in Node.js — русскоговорящее сообщество

14:43пожаловаться #10

❄

Вадим

поищи видео Ильи Кантора по ноде

Спасибо

14:44пожаловаться #11

y

Вадим

я понимаю что такая запись позволяет, но для этого кто-то должен сказать сделай апгрейд, а никто не говорит такое - удаляю yarn.lock и node_modules и делаю yarn install - должны установиться те зависимости что прописаны без апгрейдов, а по факту устанавливается 4.0.2

так, ладно, я не смог установить зависимости у pino (привет баги npm 7)
Все просто ^4.0.1 - позволяет ставить 4.0.*, может даже и минорные (не помню)
У пакетов в npm registry нет своего package-lock файла, который бы запретил пакету обновляться. Поэтому подъезжают самые новые версии, которые удовлетворяют условию ^4.0.1

14:50пожаловаться #12

В

так, ладно, я не смог установить зависимости у pino (привет баги npm 7)
Все просто ^4.0.1 - позволяет ставить 4.0.*, может даже и минорные (не помню)
У пакетов в npm registry нет своего package-lock файла, который бы запретил пакету обновляться. Поэтому подъезжают самые новые версии, которые удовлетворяют условию ^4.0.1

т.е. можно писать issue в pino чтобы зафиксировали версию точно?

14:51пожаловаться #13

y

Вадим

т.е. можно писать issue в pino чтобы зафиксировали версию точно?

да. Но они скорее обновятся просто, чем будут править package.json файл

14:52пожаловаться #14

В

да. Но они скорее обновятся просто, чем будут править package.json файл

нет - новая версия ломает функционал - им либо фиксировать версию нужно либо фиксить код под новую версию

14:53пожаловаться #15

y

Вадим

нет - новая версия ломает функционал - им либо фиксировать версию нужно либо фиксить код под новую версию

ну это в любом случае им разбираться)

14:53пожаловаться #16

y

Вадим

т.е. можно писать issue в pino чтобы зафиксировали версию точно?

сам можешь это проверить
есть package.json (но нет lock-файла)

{
  "private": true,
  "dependencies": {
    "esbuild": "^0.9.0"
  }
}

$ npm i
$ cat package-lock.json

   ...
    "node_modules/esbuild": {
      "version": "0.9.1",
      ...

15:13пожаловаться #17

В

сам можешь это проверить
есть package.json (но нет lock-файла)

{
  "private": true,
  "dependencies": {
    "esbuild": "^0.9.0"
  }
}

$ npm i
$ cat package-lock.json

   ...
    "node_modules/esbuild": {
      "version": "0.9.1",
      ...

до сегодняшнего дня я был в уверенности что устанавливаются только те версии что прописаны, а новые по команде апгрейда ...

15:15пожаловаться #18

y

Вадим

до сегодняшнего дня я был в уверенности что устанавливаются только те версии что прописаны, а новые по команде апгрейда ...

Если бы зависимости ставились ровно те, что указаны, то при возникновении уязвимости ты бы не мог обновить отдельный какой-то пакет, не дождавшись обновлениях всех библиотек, которые используют эту уязвимую версию.

Именно поэтому зависимости ставятся по-умолчанию с ^ в начале, чтобы можно было обновляться.

15:20пожаловаться #19

В

Если бы зависимости ставились ровно те, что указаны, то при возникновении уязвимости ты бы не мог обновить отдельный какой-то пакет, не дождавшись обновлениях всех библиотек, которые используют эту уязвимую версию.

Именно поэтому зависимости ставятся по-умолчанию с ^ в начале, чтобы можно было обновляться.

понял, спасибо

ребята в pino завели баг