开源作者丢了个炸弹，记colors.js与faker.js事件

这几天出现的这件事情对我感触颇深：

1、faker.js库删除

2、.js 中「作者恶意」加入了恶意的代码

.js 加入死循环

.js 是一个可以在控制台输出带有颜色的日志，给 使用。如果你做过命令行工具，多数用过它。原来实现 CLI 工具如此简单，以前路走错了。

就在这几天，作者在其代码库中加入一段死循环的代码（图是修复时的代码）：

一但你升级了 npm 包，会疯狂地输出日志：

不过现在问题已经修复，有问题的版本 npm 已经回滚， 已经发布了相关说明：

faker.js 删库跑路

faker.js 是一个构造假数据的 js 库，比如构造 mock 数据，这几天被作者删除了。不过我没有用到过。

从这件事情提醒我们：

1、一定记得锁版本，无论大小版本，有些开源作者不按套路出牌，明明改动很大，却发布了个小版本，如果无意中升级，可能会出现意想不到的 bug；

2、开源确实会耗费大量精力，国内开发者大多数比较忙，很多开源软件开源后过一段时间就不维护了，所以选开源库时一定要留意，尤其是项目中的核心代码。选开源软件时，要考虑软件开源协议、开发团队、主要贡献者、活跃度、更新频率、star 数等。

大家加油！