Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

npm 5.7.0 retiré de la circulation à peine deux jours après sa sortie
La version 5.7.1 publiée pour corriger un problème critique

Le , par Michael Guilloux

101PARTAGES

14  0 
Comme nous l’avons annoncé récemment, l’équipe npm a publié la version 5.7.0 du gestionnaire de paquets de Node.js. Pour information, un gestionnaire de paquets est un système qui permet d'automatiser le processus d'installation, désinstallation, et de mise à jour de logiciels installés sur un système informatique. Il permet d'effectuer différentes opérations, comme l'utilisation de paquets provenant de supports variés (CD d'installation, dépôts sur internet, partage réseau…), la vérification des sommes de contrôle de chaque paquet récupéré pour en vérifier l'intégrité et la vérification des dépendances logicielles afin d'obtenir une version fonctionnelle d'un paquetage.

Il existe de nombreux gestionnaires de paquets en fonction des systèmes d'exploitation et plateformes de développement. NuGet par exemple est un gestionnaire de paquets conçu pour les plateformes de développement de Microsoft, y compris .NET. Pour les utilisateurs de JavaScript et Node.js, c'est le gestionnaire de paquets npm qui, depuis la version 0.6.3 de Node, fait partie de l'environnement et est donc automatiquement installé par défaut.

Pour revenir à npm 5.7.0, parmi ses principaux apports on notera la résolution automatique des conflits levés par les git merge sur les fichiers package-lock.json et npm-shrinkwrap.json, mais surtout l’introduction de la commande npm ci que l’équipe npm espère voir apporter un gros avantage pour les environnements d'intégration continue.

Certains utilisateurs qui se sont rués vers cette version du gestionnaire de paquets de JavaScript et Node.js ont toutefois eu une surprise désagréable. Sur Linux, un utilisateur a signalé sur GitHub avoir constaté que les autorisations critiques du système de fichiers ont été modifiées par la dernière version de npm.

« Ce problème est survenu depuis la sortie de 5.7.0 il y a quelques heures, [cette version] semble avoir complètement changé les permissions de mon système de fichiers et m'a obligé à corriger manuellement les permissions des fichiers et dossiers critiques », a-t-il rapporté. « En exécutant sudo npm en tant qu'utilisateur non root (les utilisateurs root n'ont pas le même effet), les permissions du système de fichiers sont fortement modifiées. Par exemple, si je lance les commandes sudo npm --help ou sudo npm update -g, mon système de fichiers change les propriétaires des répertoires tels que /etc, /usr, /boot, et d'autres répertoires nécessaires pour exécuter le système. Il semble que la propriété est récursivement attribuée à l'utilisateur qui exécute npm. »

D’autres utilisateurs sur d’autres plateformes ont confirmé avoir constaté des problèmes similaires après l’installation de npm 5.7.0 ; ce qui a suscité beaucoup d'interrogations sur la stabilité de npm 5.7.0. Certains ont indiqué que si vous regardez le dépôt de npm, vous remarquerez que npm 5.7.0 est une préversion et ne devrait donc pas être installée, et ils semblent avoir raison.


Quoi qu’il en soit, npm 5.7.1 a été publié avec un patch pour corriger ce problème critique. On ne sait pas encore ce qui s’est passé exactement pour que l’équipe npm annonce la sortie officielle de npm 5.7.0. S’il s’agit d’un incident, alors c’est au moins le deuxième depuis le début de cette année. Rappelons en effet que le 6 janvier, de nombreux paquets avaient soudainement disparu. L'équipe npm évoquait un incident opérationnel avec le registre npm qui a provoqué l'indisponibilité temporaire de 97 paquets pendant environ 30 minutes, et 9 paquets supplémentaires pendant environ trois heures.

L'incident a été causé par les systèmes de npm pour détecter les spams et les codes malveillants sur le registre. Les systèmes automatisés effectuent une analyse statique de plusieurs façons pour signaler des codes et auteurs suspects. Le personnel de npm passe ensuite en revue les éléments marqués pour savoir s’il faut empêcher la distribution des paquets concernés. Mais dans l’examen des éléments signalés avant l'incident, ils se sont trompés dans leur jugement. Et comme conséquence, cela a empêché la distribution du code légitime d'un éditeur aux développeurs dont les projets en dépendent.

L'erreur a été rapidement identifiée et des procédures ont été suivies pour annuler le blocage. Mais des actions entreprises de manière indépendante par des membres de la communauté ont compliqué le processus entamé par l'équipe npm pour annuler le blocage des paquets, et ont donc nécessité des étapes et du temps supplémentaires. Des changements immédiats ont par la suite été faits pour éviter que ce problème se reproduise à l'avenir.

Sources : Problèmes causés par npm 5.7.0, Sortie de npm 5.7.1

Et vous ?

Qu’en pensez-vous ?
Avez-vous eu le temps d’installer npm 5.7.0 ? Si oui, avez-vous rencontré des problèmes similaires ?

Voir aussi :

Un incident opérationnel a provoqué la disparition d'une centaine de paquets npm, l'équipe derrière le gestionnaire de paquets de Node.js s'explique
Node.js 8.9.0 LTS est disponible pour une utilisation en production et Node.js 9.0.0 à des fins de tests et d'expérimentation

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Marco46
Modérateur https://www.developpez.com
Le 23/02/2018 à 11:58
Avez-vous eu le temps d’installer npm 5.7.0 ? Si oui, avez-vous rencontré des problèmes similaires ?
Wouaw ! Hier soir après avoir rédigé la news j'ai mis à jour mon npm et je me rappelle pas de quelle version j'ai installé. J'avais la tête dans le sac (ça m'a pris 3h pour rédiger la news) et je voulais absolument tester npx et l'exécution de node en tant que dépendance de projet ou dynamiquement via npm avant d'aller me coucher.

J'ai même pas fait gaffe à cette histoire :'(

Grand merci à Michael Guilloux pour le gros complément d'information !

EDIT : Moralité, ne jamais se fier au blog, toujours se fier aux notes de releases techniques !
3  0 
Avatar de headmax
Membre expérimenté https://www.developpez.com
Le 23/02/2018 à 11:25
Peut être une boulette dans une récursivité comme tu le dit en employant un chown -R user:user *
1  0 
Avatar de Luckyluke34
Membre émérite https://www.developpez.com
Le 23/02/2018 à 13:13
Ajout d'une nouvelle commande npm ci. Cette commande doit être jouée dans le cadre d'une intégration continue à la place de npm install. Elle assure que l'installation des dépendances se fait exclusivement sur la base du fichier package-lock.json, et si l'installation n'est pas possible, elle sort en erreur permettant de faire échouer le job d'intégration continue proprement. Le répertoire node_modules/ est toujours réinstallé en intégralité.
Je suis pas expert de npm, mais c'est pas un gros bout de scotch avec un nom beaucoup trop conceptuel cette commande ?
1  0 
Avatar de Marco46
Modérateur https://www.developpez.com
Le 23/02/2018 à 14:11
Je comprends pas trop ta question/remarque.

Dans une CI quand tu veux builder un tag donné, tu veux que le résultat soit invariable dans le temps, y compris en tenant compte des dépendances, et des dépendances des dépendances, et des dépendances des dépendances des dépendances, etc ...

Cette commande permet de réaliser ça, et elle permet surtout de forcer l'équipe de dev à gérer ses dépendances de manière stricte. Si un DevOps impose l'usage de npm ci sur son job Jenkins de build du livrable, l'équipe de dev est obligée :
- de fixer toutes ses dépendances.
- d'avoir un package-lock.json à jour.

Sinon la commande exit en erreur, et le job est en échec.

Sans cette commande ce n'est pas garanti.
1  0 
Avatar de Luckyluke34
Membre émérite https://www.developpez.com
Le 23/02/2018 à 16:21
Je ne remets pas en cause l'utilité mais le fait de l'appeler npm ci. Il y aurait peut-être eu moyen de trouver un nom qui reste agnostique par rapport au contexte extérieur. Continuous Integration ne me parait pas faire partie du vocabulaire qui devrait être utilisé dans des primitives d'un package manager. Là ça fait très "fan service magique rien que pour vous"...
0  0 
Avatar de koyosama
Membre éprouvé https://www.developpez.com
Le 14/05/2018 à 4:04
Ouais tester et ça fait mal au cul.
0  0 
Avatar de Marco46
Modérateur https://www.developpez.com
Le 14/05/2018 à 10:54
Merci pour ta contribution mais pourrais-tu développer stp ? :p
0  0