Monatsrückblick Januar/Februar 2026 ist online!

Thomas Braun

@OliverIO

Die Ausgabe von npm audit verleitet allerdings sehr schnell dazu dann da per npm audit fix --force das ganze Ding in die Binsen zu hauen.

OliverIO

@Thomas-Braun

Wenn dann wäre es die Quelle für eine Funktion die dann Infos ausgibt bzw irgend ein Update dann blockiert

Hab ja geschrieben ein Nutzer kann das nicht wirklich auswerten. Auch ich tu mich da schwer.

OliverIO

die KI hat auch nicht wirklich handhabbare Lösungen (meist solche die im business Umfeld eingesetzt werden, aber für ein OpenSource Projekt nicht wirklich handhabbar wäre, da zu aufwändig)

Auf npm Ebene wäre eigentlich auch so ein dependabot cooldown sinnvoll, das bei installtion nicht die pakete gezogen werden, die gerade eben erst aktualisiert wurden, sonder idealerweise mit einer Woche Verzögerung.
Dann gäbe es zumindest einen Puffer in der diese problematischen Pakete entdeckt werden können. Das erfolgte ja bisher immer recht schnell (hoffentlich, zumindest von denen wo man gehört hat)

Nachtrag:

Das gibt es tatsächlich. npm install hat einen Parameter before
https://docs.npmjs.com/cli/v8/using-npm/config#before
Der sorgt dafür, das die dependencies so aufgelöst werden wie sie zu diesem Datum aufgelöst worden wären.
Darüber könnte man dann einen Puffer einführen.
Würde aber wahrscheinlich auch bedeuten, das neue Adapter versionen ebenfalls solange brauchen bis sie bei allen überhaupt ankommen.

https://docs.npmjs.com/cli/v8/using-npm/config#before

Thomas Braun

@OliverIO

Wobei das halt auch Module ausbremst, die drigend gepatcht werden müssten. Außer du pflegst dann eine Whitelist.

OliverIO

@Thomas-Braun
Da muss man halt dann auch abwägen was wichtiger ist
und wie groß der Pufferzeitraum ist (1 Tag, 1 Woche?)
Auch jetzt wird ja bei dringender Änderung nicht wirklich alles innerhalb kürzester Zeit aktualisiert.

Thomas Braun

@OliverIO sagte:

Auch jetzt wird ja bei dringender Änderung nicht wirklich alles innerhalb kürzester Zeit aktualisiert.

Das stimmt natürlch leider. Die 'never tatsch irgendwas'-Herangehensweise von einigen usern ist halt nicht kleinzukriegen.

OliverIO

@Thomas-Braun

ein großteil der benutzer sind auch keine systemadministratoren die oft sich um das system kümmern können/wollen.
müssen ggfs auch in der familie noch ein paar andere aufgaben administrieren

Thomas Braun

@OliverIO

Richtig. Aber es kann auch nicht sein, das die Kisten über Jahre nicht mehr angepackt werden.
Das hat auch nix mehr mit Systemadministrator oder nicht zu tun. Wenn du ein Computersystem aufsetzt und betreibst bist du dann auch der 'Systemadministrator' für den Hobel. Oder du stellst jemanden dafür ein, der dir die Aufgabe abnimmt. Macht natürlich privat keiner. Also musste da selber regelmäßig ran. Die Betonung auf regelmäßig, nicht zwingendermaßen sofort.

OliverIO

@Thomas-Braun

das sind Wünsche aus der IT-Ecke.
In der Praxis sind viele Consumer-Geräte mit AutoUpdate ausgestattet.
Aber auch das ist aufwändig, da du alle konstellationen ständig testen musst, wenn
du nach einem update keine oder nur wenige elektronische backsteine produzieren willst.

ich möchte nicht wissen welchen aufwand apple oder google betreibt um das mit den handys einigermaßen so hinzubekommen.

Thomas Braun

@OliverIO sagte:

das sind Wünsche aus der IT-Ecke.

Natürlich ist das Wunschdenken, ist mir auch klar.

In der Praxis sind viele Consumer-Geräte mit AutoUpdate ausgestattet.

Ja, mit den üblichen Dingen. Ich habe z. B. bewusst auf meinen Kisten kein AutoUpdate konfiguriert, ich sehe gerne was sich da ändert und spiele das dann bewusst ein. Dann hab ich auch eine Chance zu sehen bei welchem Update es vielleicht haken könnte. Klar, kann auch nicht jeder. Aber dann aus der Unsicherheit heraus lieber gar nichts zu machen ist halt auch falsch und führt dann zu diesen oft hoffnungslos abgesoffenen, 'never getatschten' Wracks.