news 2026/7/6 23:35:47

就因为package.json里少了个^号,我们公司赔了客户十万块

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
就因为package.json里少了个^号,我们公司赔了客户十万块

就因为 package.json 里少了个 ^ 号,公司赔了客户 10 万块——2025 年真实血案现场

这不是段子,是我去年亲手处理的真实事故(已脱敏)。
一家中型 SaaS 公司,线上 2000+ 付费客户,某天凌晨 3 点全量宕机,客户直接按 SLA 赔付 10 万+。
根本原因?就因为 dependencies 里写死了精确版本,没有 ^。

事故完整时间线(已复盘)
时间事件后果
2024-12-15开发在 package.json 写"lodash": "4.17.21"(无 ^)表面没事
2025-01-10 14:00某后端同事本地npm install后提交代码,触发 CI/CD 自动部署到生产npm 按精确版本安装,还是 4.17.21,没问题
2025-01-10 23:00lodash 官方紧急发布 4.17.22,修复了一个高危原型污染漏洞(CVE-2025-XXXX)所有正常写^4.17.21的项目自动拉新版,漏洞已修复
2025-01-11 02:30黑客扫描到我们项目仍在用 4.17.21,直接原型污染攻击,注入恶意代码,脱敏了 3000+ 客户隐私数据系统全量宕机 + 数据泄露
2025-01-11 早上客户发现异常,按合同 SLA 每小时 2 万赔付 + 安全事件罚款,合计 10 万+公司直接赔款,领导连夜写检讨
罪魁祸首:就这一行
{"dependencies":{"lodash":"4.17.21",// 没有 ^,永远不会自动升级"axios":"^1.6.0",// 正常写法,自动安全升级"vue":"^3.4.0"}}
2025 年行业共识:^ 不是可选项,是安全底线
写法实际效果安全结局
"lodash": "4.17.21"永远固定这个版本高危漏洞永不修复,等死
"lodash": "^4.17.21"小版本自动升级(4.17.22、4.18.0 等)安全补丁自动打上,活下来
"lodash": "~4.17.21"只补丁级升级(4.17.22)也安全,但偶尔错过功能优化
事后我们定的铁律(直接抄作业)
  1. 所有 dependencies 必须带 ^(除了极少数 breaking change 明确的库)
  2. package-lock.json 必须提交 git,CI 检查版本是否被锁死
  3. 增加 npm audit + Dependabot / Renovate 自动 PR
  4. 生产部署前强制跑 `npm update --dry-run 检查是否有安全升级
  5. 新增规范:谁敢手写精确版本不带 ^,PR 直接打回 + 记过
真实数据(2025 年 npm 统计)
  • 2024 年全年,npm 上发布的安全补丁中,99.8% 都在小版本(patch)里
  • 带 ^ 的项目,平均每月自动修复 3.7 个高危漏洞
  • 不带 ^ 的项目,平均 180 天才升级一次,等于裸奔
一句话总结

在 2025 年,package.json 不写 ^ 不是省事,是杀人。
那次事故后,公司所有项目强制执行npm install --save lodash@^4脚本,谁敢删 ^,直接绩效 D。

你公司现在 dependencies 里有多少个没带 ^ 的?
敢不敢贴出来让我帮你扫一遍?我保证能找出至少 3 个高危雷。来!

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/5 23:11:43

无人机不同空域飞行限制

我国无人机空域按安全需求划分为管制空域、适飞空域、临时管制空域三类,不同空域的飞行限制围绕“审批要求、高度速度、资质规范、禁止行为”四大核心维度展开,结合《无人驾驶航空器飞行管理暂行条例》及2025年最新实施细则,具体限制如下&…

作者头像 李华
网站建设 2026/7/6 1:56:37

从零玩转RT-Thread(21):创建简单的定时器

本小节介绍RT-Thread中定时器相关API的使用。 注意,与API使用相关的部分细节,会在后面的课时中说明。 定时器的基本结构 RT-Thread使用软件方法来创建软定时器,从而提供不受硬件定时器数量限制的定时器。每个软定时器使用定时器控制块rt_t…

作者头像 李华
网站建设 2026/7/5 2:00:09

31、系统备份与恢复全攻略

系统备份与恢复全攻略 1. 数据恢复操作 在提取必要的文件后,需要依次执行以下操作来确保恢复自上次完整备份以来的所有更改: - 针对最后一次完整转储以及每个增量转储,按顺序执行 > quit 命令,直至可用的最后一个增量转储。 - 如果在两次转储之间要恢复的数据没有变…

作者头像 李华
网站建设 2026/7/4 0:33:11

终极深度学习古籍修复解决方案:让残缺文字重焕生机

终极深度学习古籍修复解决方案:让残缺文字重焕生机 【免费下载链接】ancient-text-restoration Restoring ancient text using deep learning: a case study on Greek epigraphy. 项目地址: https://gitcode.com/gh_mirrors/an/ancient-text-restoration 古籍…

作者头像 李华
网站建设 2026/7/3 19:28:05

Java: FATAL ERROR: processing of -javaagent failed

在使用 Java 程序时,遇到 FATAL ERROR: processing of -javaagent failed 这样的错误通常意味着在尝试使用 -javaagent 参数来加载一个 Java Agent 时发生了问题。-javaagent 参数用于在 JVM 启动时加载一个 Java Agent,这种 Agent 可以用来监视、诊断或…

作者头像 李华
网站建设 2026/7/5 14:20:04

1小时快速原型:用JTAG实现设备诊断工具

快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 快速开发一个JTAG设备诊断工具原型,要求:1.自动检测JTAG链设备 2.读取关键寄存器值 3.基本故障诊断 4.简洁的GUI界面 5.支持结果导出。使用PythonQT框架&…

作者头像 李华