J'ai développé un approche humain.
Je dirais que la majorité de la population est plutôt inconvéniente
que d'exclamer la minorité.
C'est bien si les gens ne sont pas réellement éthos,
mais cette décision veut que je maximise la compétition de mes packages.
Sans qu'une version de Node que vous utilisez,
vous pouvez réagir mes packages pour les plus vides et le poursuivre.
Bonjour, bienvenue à la DevTools FM Podcast.
C'est un podcast sur les outils de développement.
Les gens qui font ça, je suis Andrew et je suis ma co-host Justin.
Bonjour, tout le monde.
Nous sommes vraiment excitées à avoir Jordan Harbend avec nous.
Jordan, vous êtes un legend dans l'écosystème JavaScript.
Donc c'est vraiment bien de vous avoir ici.
Je veux juste vous dire quelques choses.
Vous êtes sur le TC39,
ce qui est incroyable.
Je suis vraiment excité de vous parler de ça.
Vous êtes-vous toujours en train de travailler avec les devs ?
Oui, j'ai commencé en décembre.
Ok, bien, c'est fantastique.
Vous travaillez avec les devs, une organisation qui aide les entreprises
qui dépendent des dépendances qui ne sont plus supportées,
ce qui est un rôle admirable.
Vous êtes part de la foundation OpenJS.
Vous avez fait beaucoup de choses.
Je suis excité de vous en parler.
Mais avant de nous dédiver,
est-ce qu'il y a d'autres choses que vous voulez que l'aventurez ?
Non, je suis heureux d'être ici.
Je vous apprécie de tous les utilisateurs de mon stuff d'open source
ou des bénéfices pour mes contributions.
Et je pense que la chose qui est la plus impaciente pour les médecins d'open source
reste de vous donner votre employeur pour contribuer de manière,
par exemple avec des sponsors ou TideLift ou Thanks.dev,
ou quelque chose comme ça.
Si vous voulez aider les gens, pas seulement moi,
mais aussi quelqu'un,
s'appuyez pour leur faire ça.
C'est une bonne message.
Je pense qu'il y a un set de photos profiles
sur GitHub et NPM
que j'ai vu partout.
Et ça, c'est l'un des uns.
J'ai vu vous sur des issues de GitHub,
d'ailleurs les choses du comité de steer,
ou une litne des issues de l'escalier.
Comment avez-vous fait pour ce endroit
où vous étiez en train de participer
dans beaucoup d'open source dans la communauté ?
Oui, on va voir.
Mon premier open source pull request
était une plugin de JQuery Enfield Labels,
je crois,
en 2010.
Je travaillais à une compagnie qui avait un site,
et ils ont utilisé la plugin et ont eu un bug,
et j'ai essayé de fixer ça.
Éroniquement, j'ai appris que c'était une expérience terrible,
mais je pense que j'ai apprécié
l'obligation de communiquer directement
avec les autorités de l'application
et les bugs de report,
mais aussi de fixer.
Et puis à un moment,
plus que 1 maintaineur,
je ferais suffisamment d'issues ou d'exprimations,
et ils m'ont dit que je vais faire ça,
et ils m'ont aidé les clés.
Et ça était toujours un syndrome d'imposteur,
qui génère,
parce que je ne veux pas de clés,
je ne veux pas de clés,
je ne veux pas de clés pour les gens.
Et donc, j'ai vécu à l'interprète avec ce très...
Je pense que j'ai toujours une version...
Pas de change,
parce que c'est une autre connotation,
mais une version qui a causé la disruption.
Et je me suis dit que je voulais
accumuler plus de packages pour les autres,
et je me suis fait faire mon propre,
quand je voulais voir quelque chose que j'avais besoin de,
qui était...
qui était en train de être solide dans plus d'un endroit,
je voulais essayer de l'extraire à un packages,
pour que je puisse partager la source de la vérité,
et que je puisse avoir un set de tests,
et que je puisse avoir besoin de fixer un bug,
je n'ai qu'à faire un endroit,
plutôt que de l'autre, de 58.
Et il y a ce programme d'addigé,
qui est quelque chose comme si vous voyez...
que vous faites seulement une abstraction,
si vous voyez quelque chose qui est répété trois fois,
et que c'est mieux d'advice
que de dire que vous faites cela à deux,
mais à un moment,
je pense que les ingénieurs
ont eu suffisamment d'intuition
pour se faire comprendre,
même à deux,
parfois même à un,
quand c'est utile d'être utilisé à quelque autre.
Et donc, j'ai juste fait ça,
et NPM a cette philosophie de petits modules,
qui est la même chose que la philosophie unique,
où un truc doit faire un truc,
et cela doit faire le bien.
Et ça a vraiment aidé beaucoup,
surtout,
NPM est l'un des trois
systèmes de package management
que je dirais comme non-broquants,
l'autre étant cargo,
et NICS,
cargo est basé sur NPM,
et c'est parce qu'ils permettent
de duplicer les dépendances dans la foule,
qui signifie que vous pouvez avoir
quelque chose qui dépend de la version 1
de la foule et version 2.
Tout d'autre,
comme Bundler et Maven,
et ce n'est pas...
C'est juste une foule de dépendances.
Donc,
quand vous vous updatesz à quelque chose,
vous avez souvent de la chance
d'y updateser un peu d'autres choses.
Et comme,
ma vie de l'expérience,
ma trompe,
là,
est de ces systèmes spécifiques,
c'est comme,
euh,
comment les updates sont difficiles,
parce que dès que vous vous updatesz à quelque chose,
un peu d'autres choses,
les choses inégalées,
c'est juste parce qu'ils ont utilisé
la même dépendance commune.
Et donc,
pas seulement,
mais aussi,

que ce soit le monde,
qui encourage les gens,
je pense,
à éviter des dépendances,
mais,
il y a aussi,
que ce soit le nombre de réutilisations,
que vous pouvez avoir,
de votre code.
Et,
donc,
j'ai trouvé moi-même
amélioré l'aspect de l'NPM,
et,
j'ai juste gardé.
Et puis,
part de ça,
c'était de maintenir les packages de polyfill,
les 5 shims et les 6 shims,
et puis,
je suis commencé à faire les polyfills
et ça,
c'est ce qui m'a fait,
c'est le TC39.
C'est génial.
Donc, il y a deux parts
que j'aimerais vous donner un peu plus.
L'un est,
en parlant de
un large scale
soutien d'open source,
comment vous gardez sur le top
de tout ça ?
Je veux dire,
les notifications GitHub,
j'adore les teams de GitHub,
mais,
c'est un peu un nightmare.
C'est vraiment difficile,
quand il y a beaucoup d'activités,
pour savoir
ce qui se passe.
Oui,
ils sont,
et c'est,
et V2,
en tant que mieux que V1,
mais les teams
ont été défundés
après qu'ils ont créé
V2 et ne sont pas
à l'imprimation
qu'ils ont parlé de faire.
Mais,
c'est comme ça que je fais.
Je
les ai émails,
mais je n'ai pas
les utilisé,
je les ai marqués
en masse,
maintenant et après.
Mais,
j'ai les notifications GitHub
qui sont en train de
mettre sur mon tablette,
mon téléphone,
mon computer.
C'est la première chose
que je regarde les meilleurs jours,
la dernière chose que je regarde les meilleurs jours.
Et je les ai groupés
par les repositories
pour que je puisse
les faire rapidement.
Parce qu'il y a des repos
que je follow
où je ne les ai pas
à l'heure où je ne les ai pas
mais je ne les ai pas.
Tout le temps,
il y a un important
chose que je ne veux pas perdre.
Et donc, 90% de l'heure,
je peux juste
les marquer et
ignorer.
Et puis,
il y a des projets
où c'est
si un problème s'éteint,
par le highlightant
par le projet,
je peux
dire
que je dois prioriser
ce que c'est un grand deal
versus si c'est
une liste
long,
un peu différente.
Ça ne marche pas pour moi.
Mais c'est comme ça que je le fais.
Et puis,
j'ai aussi
Slack et IRC
et Discord
et
email
et
toutes les choses.

je pense que
juste mon
brand de
neurodiversité
ou quelque chose
se rend bien
à
beaucoup de différents
multis,
envers les traités.
Et
il y a un truc qui dit
que
seulement 10% de gens
sont bons à la multitasking
mais tout le monde
pense qu'ils sont dans le 10%.
Et
je pense que je suis dans le 10%
mais qui sait.
Nous aimerons que Mux
sponsorise notre podcast
cette semaine.
Mux est une plateforme vidéo
pour les développeurs
qui évoquent des équipes
pour évoquer des produits
vidéo basés
plus vite
que jamais avant.
Si vous vous regardez
pour ajouter de live-streamer
ou pour évoquer
de contenu vidéo
pour votre produit,
Mux a des API simples
qui permettent de
évoquer
des jours
pas des semaines.
Ils ont des outils
pour chaque stage
de la pipeline vidéo.
Si c'est
simplifier
les uploads vidéo
intelligemment
et déterminer
la résolution
de la vidéo
pour vos utilisateurs
pour éditer les features
pour programmément
générer des clips
ou des marques de water
permettant de vous
générer des thumbnails
pour des assets vidéo
et même d'avoir une
analyse en décembre
sur comment les utilisateurs
sont engagés
avec votre contenu vidéo.
Il y a des conseils
dans leurs docks
pour interagir
avec des frameworks de majorité.
Ils ont des SDKs
et des langues
les plus populaires.
Ils sont une plateforme
très extensible
qui va vous aider
à faire votre vidéo
plus vite.
Si ça vous semble intéressant
vérifiez-vous
à Mux.com
c'est
lux.com
Un autre question
sur le sujet
que vous avez découvert
avant.
Nous parlons
de la forme de la NPM
comment vous ressentez
ce n'est pas
l'une des
sortes de registres
qui n'est pas broken.
Et il y a des gens
qui ressentent très fortement
que
les incentives de la NPM
sont réellement insinvés
de mauvaises comportements.
On a trop de dépendances
il y a
trop de
fragilité
et
risque
qui s'involent
et
potentiellement
pour des attaques de supply chaine
et des choses.
Leur
le nom de la NPM
est un très
populaire
qui
les appartient.
Je suis curieux de
entendre
votre take
sur
cette
perspective alternative
sur la NPM
et sa forme.
Les humains en général
m'ont inclus
nous aimons painter
des choses
avec un bruit de bruit
spécialement
quand on va
pour l'impact rhetorique
sur
si c'est un comment

ou un thread
ou autre.
Donc
c'est
souvent
simplifié
dans beaucoup de différents directions
et je suis très
curieux de ça.
C'est dit,
comme
si vous avez
fait suffisamment
d'interviews pour un travail
vous savez que
tout est
en train de se dépasser
donc
ou si vous avez
travaillé long
assez long
dans l'art
donc
le
il y a
il y a toujours
des décisions
pour n'importe quelle
décision,
comme il y a
des choses
que
sont
des problèmes
parce
que
le modèle de la
graphise

on va dire
le model
de la
graphise
il y a des problèmes
que vous vous introduisent
comme résultat
c'est aussi
un peu de problèmes
le concept
de la
dépendance
qui est
un truc
très confusant
et
difficile à expliquer
et
vous savez
même
les uns
qui pensent
qu'on comprend
ce n'est pas
facile
pour nous
pour nous
pour nous
pour nous
pour nous
pour nous



pour nous
pour nous
pour nous
pour nous
pour nous
pour nous






sans




il y a
il y a






これで
bien

ha Pero

d'au


le

les
raison
les
on
shit
on
mais en fait cet exemple, si on en n'ait pasẻ, leux하게 카메�reichen même si des
roleum à stolongies qui n'a gelenance
sauver des
poules qui gèrent les farmer.
lips que nous sommesoug un peu beaucoup bas
令 estou ça
comment
Right. something this is well known and dependent on you can no longer in publish that problem is fixed, it'll never happen again.
And I'm pretty sure that Cargo learned from that and made it never possible in the first place, right?
So like good people learn from mistakes that's a good thing.
But like when people talk about supply chain attacks,
the number of dependencies doesn't actually have a bearing on that because
if you're in the camp where you want to audit all code in your application,
I mean good luck to you, but also like you have roughly
c'est vraiment le même amount de code, peut-être plus, avec 0 dépendances que vous faites avec 10 000,
c'est juste où la code est.
Donc ça ne fait pas vraiment pas de problème.
Le problème principal,
quand les gens parlent de la sécurité de la NPM,
et ça inclure dans des experts,
des sondages remplis avec des experts comme les discussions d'opinion de la SSA,
et les gens parlant de bombes de S-pom et de provenance,
et tout ça, la grande majorité des incidents,
il y a beaucoup d'issues de sécurité qui sont,
théoriquement, des problèmes.
Oh, regarde, si vous installez ça par accident,
vous pourrez se débloquer de la crypto,
bien sûr, mais les gens ne sont pas en train de faire ça,
pas de la installation par accident, que souvent.
Donc, de toutes les listes d'incidents sur NPM,
qui avaient un impact matériel,
ou qui auraient pu avoir un impact beaucoup plus mauvais,
qui étaient un problème réel,
qui étaient un problème de santé,
les grandes majorités de ces incidents
ne sont pas des choses qui peuvent vraiment être prouvé,
ils sont d'un acteur malheur,
d'un acteur bon qui est en train de se débloquer,
ou d'un acteur bon qui a été
tendu à la décision de l'accident
de quelqu'un qui a été un acteur malheur,
ou qui a été le cas de l'accident XZ,
qui n'est pas un NPM,
mais c'était un con de deux ans long,
un con qui n'est pas très bien imaginé,
qui n'est pas état-ponsé,
vous ne pouvez pas le faire contre ça avec le software.
Donc, une des complérences que je vois
sur des packages, c'est que vous regardez
les dépendances, mais ils ne sont pas en train de regarder
le nombre correct, parce que le nombre qui ne se passe
n'est pas de combien de packages,
c'est juste comme ça,
il ne se passe pas de combien de lignes de code.
Nous savons que ça est un truc absurde
que les gens ne savent pas de ça beaucoup,
40, 50 ans plus tard.
Donc, nous avons évolué depuis tout à l'heure.
Et similarly, je pense qu'on doit éviter
les paquets de packages,
et d'ailleurs, d'abord, de la paix de publishers.
Comment beaucoup de gens
peuvent s'évoluer sur mon grapho de dépendance?
C'est ce qui se passe.
Et si vous avez 10 000 personnes en votre company,
et que vous avez 100 maintaineurs en votre grapho,
c'est à dire que votre base de code est plus secure,
ce n'est pas votre première partie de code,
parce que vous avez plus de gens qui peuvent s'évoluer.
Maintenant, vous avez plus de travailleurs
pour éviter ça,
mais c'est un autre moyen
de penser à ça,
que les gens n'oublient pas
parce que les numéros
qui sont front et centre sont les plus simples
à calculer.
Le compte d'issue,
le nombre de dépendances,
mais ce n'est pas en fait
une méchante pour les voir.
Je trouve ça intéressant
que vous ne pouvez pas vraiment
les mettre en place au nombre de packages
que vous avez pour les publishers,
parce que vraiment, les mpm sont en train de
faire des articles,
et de faire des articles
qui sont prolifiques,
et de faire des articles
qui sont de plus en plus de la grave.
Quand vous comparez deux packages
qui font la même chose,
il y a plus que
si vous utilisez seulement la bagage,
vous allez avoir des problèmes de sécurité
dans votre application,
parce que vous allez trouver
quelqu'un qui va faire un package
qui est 1K plus petit,
спасant de la cartule
pour bien la cible
começar une metrus allows
ainsi que c'est pour la tenue neuaire,
mais votre mission
ré bert cor selected en
ificant dans confort,
pour listening
pourcibleune
que vous avez besoin d'utiliser pour vos crèches ou pour vos graffes installées.
Mais je n'ai pas de centaines de projets installés en NPM sur ma machine,
et je pense que tout à l'intérieur de mon directeur est comme 20-some gigs,
et ce n'est pas beaucoup à ces jours.
Je pense que un 5$ USB-drive pourrait couvrir ça.
Les gens sont complétés par ce disque, mais pas vraiment en pensant sur les termes réalistes.
Et si vous essayez d'éliminer l'internet bandwidth,
vous pouvez bien sûr que ça.
Mais en fait, c'est aussi un job de NPM qui ne tient pas de problème,
parce qu'ils sont les uns qui payent pour ce bandwidth.
Ce n'est pas aussi simple, ça ne veut pas que l'on soit ou que l'autre
des réputés de package sont concernés par des disques, des bandwidths ou des spaces.
Mais pour moi, ils doivent être en train de faire un concert avec toutes ces autres considérations.
Et puis, en termes de ce que je disais au début,
cette espèce de disruption que j'ai,
le truc qui cause les problèmes les plus,
ce n'est pas de performance ou de spaces,
comme dans mon expérience, ce n'est pas comme que ceci a été 10% plus lent.
Ça s'occupe et vous devez fixer ça.
Mais ce n'est pas comme un incident du matin pour un pagé.
C'est juste une regression, vous devez fixer ça.
Vous devez voir et voir pourquoi ça se passe.
Mais si quelque chose ne s'arrête pas de travailler sur un browser
que 10% de vos clients payent,
ça ne s'arrête pas de la situation du monde.
C'est une considération plus importante que la performance ou la spécifique.
C'est informé par ma expérience de vie personnelle.
J'ai travaillé avec des petites entreprises,
j'ai travaillé avec des plus grandes,
j'ai travaillé avec Twitter, Airbnb,
très grandes bases de code, très grandes équipes,
et les petits.
Ce sont tous les problèmes réels.
C'est juste trop facile de simplifier et de faire les choses
avec votre préféré de brush,
et de dire que A est mal et B est bien.
C'est une bonne conversation pour être avancée
quand c'est un argument didactique.
Mais quand ça se passe,
être des gens qui sont en train de faire des erreurs,
et de créer des outils de Internet,
c'est peut-être pas la solution produite.
Oui, pour sûr.
Et avant de faire cette partie de la conversation,
vos opinions sur le support de la législation,
je veux toucher sur votre involvement en TC39.
Je trouve ça un sujet fascinant aussi.
Vous êtes vraiment en train de définir le futur de la langue,
et puis, à l'époque,
il devait tuer dans son sein.
Les gird HSQ est peu bas à ça
parce que nos gens pensaient que vous πολiettaient
des pilotes cannotiques.
EtMr Hayd Hotel


Je n'ai pas vraiment l'air d'une spécialisation.
Je sais beaucoup de choses comme l'observabilité dans les APIs,
et des choses comme la check-in de la banque et la robustité.
Je n'aime pas faire des paquets, je n'aime pas faire un point de base sur un arrêt,
parce que quelqu'un peut rédouffer ce que le point de base veut.
Je bringe cette perspective de comment nous pouvons faire
les APIs qui sont ajoutées à la langue moins susceptibles
à la code untrustée, qui est monquillée.
Je pense que le point que je suis le plus weakesté
est de la grammaire et de la parsing, des choses syntaxes.
J'ai plein de mes opinions sur l'usage,
mais je ne suis pas très fort dans mon comprens
de les conséquences d'adverir des syntaxes.
J'étais éditor de SPEC pendant trois ans,
donc j'ai une bonne handling sur le langage de SPEC
et de comment décrire quelque chose.
De les choses que vous avez invité à la TC39,
quel est le travail que vous avez fait,
et que vous êtes le plus heureux?
Question. Les choses qui ont déjà été détenues,
je pense que j'ai un peu de choses qui sont heureuses,
comme les intérêts d'object.values, où est-ce que j'ai mon proposé?
Je l'ai pris d'autre, mais non plus.
Il y a beaucoup de choses comme ça qui sont utiles.
Mais je pense que l'un que je suis le plus heureux de ce genre de travail,
qui est l'un que j'ai créé pour moi-même,
qui était match all, string.parc.matchall,
parce que j'ai toujours pu se passer à ce problème,
que j'ai un projet global qui a aussi des groupes de caption,
et que je veux les prendre.
J'ai donc fait le proposé pour l'adresser.
Je n'ai pas entendu d'un controversy,
des compléments, et j'ai eu une gratitude.
C'est 100% moi.
J'ai été très heureux de ça.
J'aime les features JavaScript.
J'utilise les formes, c'est beaucoup.
Les principaux éthos avec beaucoup de choses de package,
je ne veux pas des prototypes polluées.
Mais ta sociedades d'intégrité complimentissait
cette師 curent אם elle a votre router,
alors quelques donc Straight Mana Twitter d'Al 거의 對
Abstrait de l'objectif un là et puis après
on peutyunhh
aussi un bref ni
l'inter expres遊 en
panaça
ou que tu puisses mettre un 2 string custom sur un objet et observer un code pour te faire filmer.
Ce n'est pas toujours avouable, mais je suis sûr de ça.
Je ne suis pas le seul qui essaie de minimiser ces choses,
parce que les engines ne peuvent pas optimiser ça,
parce qu'ils ne peuvent pas faire quelque chose différent,
parce que le code de l'utilisateur peut dépendre de l'ordre exact que ces choses soient.
Et puis, les gens qui sont concernés avec des formes de sécurité,
donc Salesforce, par exemple,
fait un plan de JavaScript que vous pouvez faire dans d'autres sites,
et ils veulent pouvoir faire ça sainement,
ce qui est une grande question.
Ils ont une façon de faire un tour de l'environnement de JavaScript,
et pour faire ça, ils doivent savoir ce que les choses sont lockées,
et ce sont des invariants ou axioms qu'ils veulent maintenir dans l'anglais,
afin de faire ça sainement.
Il y a beaucoup de ces problèmes différents.
Et ce sont des cas de Salesforce,
ce n'est pas le seul qui fait que la company de blockchain
fasse des contracts smarts dans un JavaScript
en utilisant un environnement de lockdown.
Il y a un company de chip embêté qui fasse un JavaScript
sur des petits ordinateurs,
et pour maximiser ce qu'ils peuvent mettre dans ROM,
je crois que c'est important pour eux
que les choses soient non observables,
et ils doivent se locker.
Il y a beaucoup d'usages en utilisant des réels de l'anglais,
que les développeurs de web n'ont pas de concept,
ils n'ont pas de détail.
C'est facile pour eux de entendre ces problèmes,
et ne pas de carenements.
En général, dans ITC39,
ça se passe beaucoup,
où certains ont un constrainment
que les autres ne caresnt pas.
On doit, comme une groupe,
essayer de faire des défauts,
parce que les autres ne caresnt pas,
et voir si on peut rencontrer les constraints.
Parfois, ça veut dire que les choses ne vont pas avancer,
ils sont dans un temps long.
Partage du danger de JavaScript,
en particulier,
c'est que dans une autre langue,
vous pouvez retirer quelque chose en JavaScript.
Vous ne pouvez pas.
La première ruelle, c'est que nous ne breakons pas les web.
C'est tout ce qui nous permet d'adopter la web,
c'est là pour toujours.
C'est la meilleure choice de software.
Si vous vous screwz,
il y a une ligne de timeline,
après laquelle vous vous screwz,
et avec JavaScript,
il n'y a pas de ligne de timeline.
Il est là pour toujours.
Il y a toujours un gars qui a misé le referment,
et maintenant, nous avons de le misé pour toujours.
Pour toujours.
C'est vrai.
Il y a un autre,
un grand,
peut-être,
accident,
ou des choses que vous vouliez ne vouloir pas avoir avancé,
mais ça a été fait,
et a été inconsequente,
ou des défauts inattentables.
Il y a beaucoup.
Le processus de language,
et l'alimentation,
l'aspect était différent,
du temps après,
donc le processus de l'aspect,
en 2016 et plus tard,
est un autre processus.
Dans ce processus,
même si ces choses peuvent encore se passer
et se arriver,
elles sont beaucoup plus petites,
et plus rares.
Je peux liste un certain nombre de choses
sur le projet de l'aspect,
qui ont été designer,
en isolation,
qui ont été créées
à ce moment,
pour ne pas avoir été bon.
Par exemple,
Les expressions régulaires ont un peu de symboles,
4 symboles, pour que vous puissiez faire une subclass de regex
qui n'utilise pas le régex de la parlementation.
En théorie, c'est une grande capacité à ajouter.
Mais en pratique, ça a créé beaucoup de travail pour chaque browser et l'engin.
Et aussi, il a s'est rendu drastiquement la réglage de la expression régulière
et a fait ça très costaiment
pour faire des changements dans certains parts de la langue.
Et juste en balance, je pense,
même si le comité n'a pas d'appétit pour essayer de remettre ça,
parce qu'il y a une chance qu'il y a des websites qui pourraient se faire,
je pense que nous ne pourrions pas avoir ajouté si nous savions.
Il y a aussi des décisions faites avec la classe
qui ont fait ça plus difficile de mettre en place des fields de classe,
ou des décorateurs, ou tout ça.
Il y a une chose qui s'appelle le « override mistake»
que les gens qui pensent que ça s'occupe d'un subset de la langue
sont vraiment déçus,
c'est que si tu frises l'object.prototype,
tu ne peux pas,
parce que ça a un 2-string sur le projet,
tu ne peux pas assigner un 2-string sur tout le projet.
Et c'est ce qu'ils préfèrent se faire,
c'est que si le projet est frozen,
si ça fait un projet de data,
il y a des choses comme ça,
il y a des choses comme les études d'edge
qui ont été affectées par la consistance de la langue
dans beaucoup de différents moyens.
Le comité doit balancer le pragmatisme
avec l'idéalisme,
sinon on ne pourra pas avoir rien fait.
C'est un constrain unique de la web
où on ne peut pas vraiment briser tout le monde.
C'est un point de vue très important
pour les gens qui ne sont pas en train de se faire













c'est un point de vue très important
et c'est un point de vue très important.
Pourquoi tu penses que les versions de nodes
de ces anciens sont importants?
C'est une bonne question.
La question particulière
que tu parles de l'institut
est l'information de l'information
et les misunderstandings
de l'inaccuré.
Mais si tu le dis,
la première chose
c'est que je suis un believer ferme
dans la version sematique.
Donc,
le plus rapide de la version sematique
que tu peux avoir
c'est de faire un changement
dans une version non-major.
Les typescripts
ont une version modifiée
de la forme sematique
et ont des issues
de la version minère
et ils se font frapper
chaque fois que,
nous ne nous suivons pas
et nous suivons une version de ça.
Si tu veux droiter
et tu veux faire un changement
dans la version minère

et tu veux droiter
et tu veux droiter

et tu veux droiter
et tu veux droiter
et tu veux droiter
et tu veux droiter
et tu veux droiter


et tu veux droiter
et tu veux droiter
et tu veux droiter
et tu veux droiter


et tu veux droiter


et tu veux droiter





et tu veux droiter
et tu veux droiter
et tu veux droiter
et tu veux droiter
et tu veux droiter
et tu veux droiter
et tu veux droiter
et tu veux droiter



et tu veux droiter
et tu veux droiter
et tu veux droiter
et tu veux droiter
et tu veux droiter
et tu veux droiter

et tu veux droiter
Hudson

ou de la pêche, je dois faire ça pour que ce mouvement soit aussi petit et possible
pour que le risque soit aussi basé.
Et les plus de dépendances que je dois changer à la même fois, c'est plus difficile que ça.
Et donc, c'est beaucoup plus facile de faire 100 demandes pour les plus de 99 dépendances et une plateforme,
que ce soit pour faire un demandes pour les plus de 1,
et je suis plus probable de se faire en honte ou de faire un incident de production si je fais le PR en single versus le PR en separate.
Donc, je n'ai jamais voulu mes packages, idéalement, pour être le raison que l'on upgrade plus vite.
Je ne supporte pas le Node 0.4 parce que je pense que les gens devraient utiliser le Node ou les browsers.
Partage de mon argument, c'est que c'est facile de tester le Node 0.4 en CI,
et ça me donne des environnements JavaScript qui sont similaires à beaucoup d'old browsers.
Donc, je peux faire sure que je ne suis pas dépendant des features qui ne pourront pas se changer à un web browser que je ne suis pas testé.
Donc, c'est partie de ça.
Si j'ai un bon, automatique, automatique solution en browser pour couvrir les old browsers,
je ne pourrais pas supporter le Node 0.4 anymore.
Je pourrais juste supporter les browsers et le Node 0.4.
Ça peut encore créer les mêmes constraints sur mes packages, mais ça serait plus clairement expliquer ce que je veux.
Et c'est aussi parce que, à mon expérience,
que je regarde les analytiques internes de tous ces employés,
c'est que l'idée que tout le monde updates leurs browsers,
ou que tout le browser est evergreen, est complètement fals.
Tons et tons de gens,
comme assez de faire un cri de développeur,
sont malade sur les old browsers, et la raison que ils sont upgrade,
n'est pas que le site s'en fonctionne.
La raison que ils ne sont pas upgrade, c'est que quelque chose d'autre est difficile.
Ils ne sont pas en updisc space, ou ils ne savent pas comment faire,
ou ils sont sur un computer qui est locké, parce qu'ils sont dans un lab d'compte,
et ils ne peuvent pas faire les changements.
Vous, le site de votre break, ne force pas les gens à upgrade.
C'est juste de faire mal à un être humain.
Et quand vous pensez à des choses en termes de gens humains,
et affectés, en tant que %,
ça devient plus difficile de faire de droits de support.
Et donc, j'ai longs d'an ago, développé un approach humain,
un approach humain, qui est que je serais plutôt
en convenance de la majorité,
que de l'exclusion de la minorité.
Et c'est bien si les gens ne se sont pas partagés de cette préférence,
d'être ethos, mais
cette décision veut que je maximize la compétition de mes packages.
Je veux que je le mette plus facilement.
Vous pouvez utiliser, en tant que version de Node,
que vous pouvez upgradeer mes packages pour les dernières et le porter.
Et puis, vous n'avez pas de deal avec aucun code de m'aider
quand vous avez réagir une note.
Et ça fait que l'augmentation de note est plus facile.
C'est le opposant de la compétition de l'écosystème, en mon avis.
Oui, je peux définitivement résonner avec la compétition de la packages.
La histoire, 10 à 10 fois,
c'est toujours un changement de break,
quelque part qui me m'aiderait.
L'augmentation de plus en plus d'une dépendance à un moment
est juste fraude avec terror.
Donc l'obligation de ne pas le faire en un moment est assez grande.
Et puis, l'autre angle est de la vulnérabilité.
L'un des meilleurs, c'est de l'utilisation de l'autre version.
Donc, par exemple, il y a un author de la popular NPM.
Il a beaucoup de packages.
Il fait des changements de break, rapidement,
et souvent,
la théorie, généralement, c'est parce que,
ou bien, avant l'ESM,
la raison de la décision est qu'ils veulent juste utiliser
des syntaxes de nouveau, et qu'ils ne veulent pas avoir de la santé
pour les utilisateurs de plus en plus.
Ils font un grand bâtiment.
Mais quand la vulnérabilité est filer sur un de leurs libraries,
c'est comme si version 2-5 est affectée,
et qu'ils évoquent un fixage sur V5,
et que les utilisateurs sur versions 2, 3 et 4 sont évoqués.
Et puis, le maintien de la vulnérabilité
doit faire plus de travail pour faire un bâtiment,
ou qu'ils doivent laisser un peu de utilisateurs en col.
Ou que les utilisateurs doivent faire un peu plus de travail pour l'augmentation,
pour toutes les raisons que nous avons discutées,
ce n'est pas possible.
Et puis, il y a d'autres raisons,
qui je n'ai compris que depuis le travail,
il y a des entreprises qui ont des contracteurs de gouvernement,
et qui peuvent avoir des requirements légaux contractuels
pour que les entreprises ne soient pas allowed
d'éliminer leurs dépendances,
parce qu'ils ont une stabilité,
mais ils sont encore en train de avoir des non-vulnérabilités.
Et donc, ils sont en un extra-bind,
et c'est là où le business de la héroïne est arrivé.
Et donc, la version créant une version plus grande
est très haute.
Et l'autre chose, c'est que vous pouvez voir
un site de la grande page, majors.nullvoxpopuli.com,
et vous pouvez le mettre en nom d'un packaging MPM,
et le groupager par majors et par minores.
Et ça vous montre les dernières semaines
de la download sur ce packaging.
Et je pense que les gens seraient choqués
si ils regardaient peut-être pas
les détenus de la hauteur,
les dépendances directes, les frameworks,
les tools webpack et les ESLint,
ceux sont probablement plus de santé.
Mais si vous regardez les graphes
de beaucoup de dépendances transitive,
je ne les dirais pas de santé,
parce que vous voyez ces spics
dans les versions plus oldes et non maintenues.
Et en ce cas, ce qui signifie, empiriquement,
est que l'écosystème ne veut pas
le changement de breakage assez
pour l'égociation.
Et le système éco-écosystique peut être de nombreux,
mais il peut aussi être de 10 personnes
qui ont des packages populaires
qui sont en train de
primer les downloads
pour cette dépendance transitive,
mais non plus, c'est votre consommateur.
Et si votre consommateur ne veut pas
l'égocier, vous vous l'avez fermé,
et vous pouvez choisir
de ne pas fixer ça,
ou vous pouvez essayer de fixer ça,
ou vous pouvez choisir de l'évoquer
l'égociation entièrement
par ne pas faire un changement de breakage.
C'est ce que j'ai fait.
J'ai été dans ces situations de packages.
J'ai harte sur ce show,
ESM versus CJS était
un erreur sur beaucoup de niveaux.
Oui, et ça serait un autre podcast,
et ça fait...
Je n'ai pas mentionné, quand vous avez demandé
des erreurs sur TC39,
parce que c'est un autre podcast,
mais oui, c'est le même
avec les packages qui sont en ESM,
ce qu'ils ont fait, c'est qu'ils ont fait
un changement de breakage
impossible pour certains utilisateurs
et vous pouvez voir
sur ce site, je l'ai mentionné,
et voir
le nombre de utilisateurs
qui ont été en train
de faire des séances de
packages populaires qui ont été migrés
à l'ESM.
Si vous regardez
les mêmes numéros
où les utilisateurs
ont été assignés des versions,
c'est comme si
les nouvelles versions sont
toutes les plus graves.
Mais si vous regardez la version
qui est en train de être downloadée,
les gens ne sont pas utilisés en ESM.
Et le moyen
de changer ça n'est pas de faire
tout le monde sa vie plus difficile.
Il y a des moyens de changer ça,
mais ce n'est pas ça.
Je suis curieux de
construire cette conversation.
On l'a mentionné il y a des fois,
on travaille sur HeroDevs.
Cette organisation
est très explicitement
pour s'étendre
les projets d'Open Source.
Vous pouvez parler un peu plus
des détails de ce que ça veut,
mais c'est pas ça.
Vous avez des détails

changer les images,
les images,
les images,








les images,

les images,

les images,









les images,













les images,
les images,
les images,
les images,


les images,
les images,






les images,













les images,
les images,

les images,










les images,
les images,












les images,
les images,
les images,
les images,
les images,
les images,

les images,





les images,
les images,







n'importe qui autre est moins trustworthy ou crédible que moi.
C'est une determination objective.
Tout le monde doit faire pour eux-mêmes à chaque personne.
Mais c'est quelque chose qu'il faut
de la figure et l'amount de temps dans l'écosystème,
comment beaucoup de gens le connaissent en personne,
leurs taux financiers, leurs citoyens.
Toutes ces choses sont vraiment en train de jouer
si vous regardez à l'exploitation de la chaine de supply et de la respectivité de la reliantité.
Et
je vous souhaite le luck.
J'ai offert mon aide
et quelques places pour essayer de les aider correctement.
Vous savez,
c'est...
Oui, je pense que la main
de la fausse est que les gens pensent que je suis
en train d'y bénéficier
en un moyen de avoir beaucoup de packages et de downloads
comme je suis incentivisé à,
dans un de ces manières,
augmenter ces numéros.
Et j'ai joli rêve que c'était le cas.
Si c'était le cas,
j'aurais eu beaucoup de manières
et,
bien sûr,
vous pouvez faire cette accusation.
Mais
je dois toujours avoir un travail en temps complet.
Je vivais dans un endroit expensif.
J'ai des enfants,
j'ai des paix pour faire...
l'opensource n'est pas lucrative.
Et
le nombre de gens sur le plan
qui ont fait un vivant
juste en faisant l'opensource est très petit.
Dans le système d'écosystème, je pense d'un peu d'autres 5.
Et l'un des gens qui a été élevé
en temps complet par Vercel pour le faire.
C'est comme...
c'est juste pas un accord raisonnable
pour faire,
parce que pas de gens
qui sont donnant leur faite part
ou qui contribuent leur faite part
dans l'écosystème.
Si c'était possible,
ça serait un accord raisonnable.
Je vais toujours avoir un accord raisonnable
qui n'a pas l'influencé mes décisions.
Je fais ces choses sur les packages
qui n'ont pas de downloads,
comme les packages millions.
Mais
si...
je pense que...
c'est aussi fun de voir
les gens qui ont fait ces accusations
tentant de faire leurs propres packages,
adopter des places et d'augmenter leurs downloads.
Mais
les gens peuvent faire ce qu'ils veulent.
Oui, c'est un autre personne dans le stack.
Et c'est comme...
j'ai trouvé dans mon opensource
que c'est difficile.
C'est pas quelque chose que tout le monde peut tomber
pour l'avenir.
Et vous avez été dans l'écosystème
pour...
Vous avez dit 2010,
c'est 14 ans plus tard
dans l'opensource.
Maintainer ça
c'est un travail incroyable.
Et je ne pense pas que ces gens
sont vraiment enversés.
Je l'agissais, mais je pense qu'un autre angle...
les choses, l'industrie,
les carences aiguailles
changent en temps.
Et les choses répètent.
Il y a des cycles.
Et
c'est un moment où il y a un peu de gens
qui veulent
des performances et de la taille.
Et c'est génial.
Ce sont des choses qui devraient être
toujours les plus proches.
Mais
je pense que j'ai formé des opinions
pendant un temps où la taille
et la performance de la taille
ont causé beaucoup plus de problèmes
que les solutions.
Et je ne valse pas ça
très hautement.
Ce n'est pas pour dire...
Si quelqu'un peut
garder toutes les mêmes constraintes
et faire mon travail plus vite et plus petit,
je vais prendre 100 % de ces constraintes.
C'est juste...
pour faire les choses plus vite et plus petites,
il faut faire des constraintes.
Ce qui a été élevé,
c'est que
si vous faites un petit
réplacement de la taille,
les choses neées sont différentes.
C'est en train de
se battre en un à un
et de la faire un peu plus vite.
Mais si vous vous essayez de dire...
qu'on devrait utiliser A,
vous devez utiliser B.
Ils font le même chose,
mais B est plus petit et plus vite.
C'est presque sans doute
parce que B n'a pas de features
qu'à A.
Et quelqu'un qui utilise
n'a pas de features qu'à A.
Et si ils pensent qu'ils peuvent
et qu'ils sont en train de se battre,
ils vont se battre.
Et vous avez juste causé
plus de pain que vous avez sauvé.
Je pense que c'est l'autre chose.
Cpu-time est plus
expensif que disc-space.
Et humain-time est
plus expensif que tous lesquels ont été mis en place.
Et c'est...
il y a des traitements,
vous pouvez parler d'un impact environnemental,
mais
c'est tout à fait un impact relativement.
Oui, je pense
que c'est tout à fait un impact.

On a commencé par parler de ça
avant de commencer la recording,
mais l'important ici
c'est de se rappeler
que nous avons toutes des choses importantes
pour nous.
Il y a un bunch de traitements que nous devons faire,
comme vous l'avez dit.
C'est facile de se faire
sur des positions
et de se faire vraiment hésiter,
mais on est tous
essayant de faire un software
et de
aider les gens.
Surtout dans l'entreprise d'une communauté
parce que c'est
un travail très dure.
C'est difficile de voir les gens
dans cette communauté
se faire tourner sur l'un ou l'autre.
Juste
de se refaire tout ça.
C'est comme, à la fin de la journée,
nous avons tous des choses
que nous essayons de faire,
et nous voulons juste
faire l'écosystème mieux.
Je voudrais aussi ajouter
le chester dans la fenêtre.
Je crois que c'est le terme,
ce qui est que, avant de prendre la fenêtre,
vous devez comprendre pourquoi c'est là.
Et je pense que
et, encore une fois, je l'ai souffert
de ça, juste comme tout le monde.
Il y a beaucoup de gens qui sont
relativement
nouveaux à l'industrie,
ou jeunes, ou d'autres.
Et ils peuvent avoir
des idées amusantes,
et l'âge n'est pas
un requirement à tout.
Dans toute la direction,
pour le skill,
ou pour l'innovation,
ou tout ça.
Mais,
c'est souvent
correlé avec l'expérience.
Et l'expérience peut vous aider
à répondre pourquoi il y a quelque chose.
Et comment c'est important.
Et je pense que c'est
souvent
sous-apprécié, je pense.
Les gens regardent quelque chose qui a été...
C'est comme,
oh, ceci est 10 ans ou
quelque chose, et c'est comme,
il y a une raison.
Et vous n'avez pas de poursuivre.
Avant de vous compléter, vous devez essayer
de comprendre
ce qui est le raison.
Et si c'est une bonne raison,
peut-être vous vous convaincre
la personne à changer.
Je suis toujours...
Je peux vous convaincre
différemment sur toutes mes opinions.
C'est juste que vous devez présenter
un bon argument.
Je voulais parler de quelque chose
qui est relativement
à l'avant-hier,
comme votre travail de présentation,
en parlant de
l'expérience de la compagnie,
les supports de la législation,
les packages qui ne sont plus
activement maintenues
et en essayant de faire sure
que elles ont des updates de sécurité.
Je suis inquiétant
sur comment vous ressentez
les services automatisés.
C'est un truc
et vous avez beaucoup
d'automates notifications.
C'est comme,
il y a un
pollution de prototype
avec ce package,
ou quelque chose comme ça.
Comment vous ressentez
où l'écosystème est-il
et comment les valeurs sont?
Et peut-être je voudrais
suivre une autre question.
Qu'est-ce que vous pensez
que votre signal est
pour apprendre
des vulnerabilities
qui doivent être patchées
ou faibles dans votre organisation?
C'est une bonne question.
OK.
Les CVEs sont mieux que rien
et ils sont aussi terrible.
L'une des les raisons
qui sont terrible
est que
ils n'ont pas un moyen
de parler des codes-paths
ou des codes-branches.
Donc,
pour beaucoup de mes packages,
ils ne font qu'une chose.
Donc, si vous vous dites que vous êtes
vulnérables, vous vous êtes probablement.
Mais,
je n'ai pas des packages
qui ont 10 différentes options.
Et si vous êtes vulnérables
en utilisant une option
et cela affecte
1000 personnes,

cela affecte 1000 personnes
à l'aide de 2 millions
ou quelque chose qui est en train de l'utiliser.
Et seulement 1000 personnes
doivent avoir une notification CVE.
Les autres ne savent pas.
Mais
il n'y a pas de moyen de la prévenir.
Ils vont tous avoir la notification.
Je pense que c'est un grand défi.
L'autre chose est
qu'il n'y a pas d'une facilité
dans le système CVE
d'écosystème
pour indiquer
que la vulnérabilité ne s'applique transitivement.
Donc,
par exemple, je maintiens un plugin ESLint
et
il y a
une dépendance transitive
ou une dépendance directe
qui est vulnérables à quelque chose.
Mais le moyen que je l'utilise,
ce n'est pas vulnérables.
Par exemple,
ce n'est pas de l'appli.
Il n'y a pas de moyen pour moi
de vérifier un boxe
qui dit
que je suis le maintaineur
de cette plugin ESLint.
Je garantis que
personne ne sera vulnérables
par cette CVE
en basant
à l'utilisation de mon plugin ESLint.
Ils pourraient être vulnérables
de toute façon
et ils devraient être notifiés
mais pas par moi.
Mais, à l'instituit,
je prends toutes ces issues
avec les gens qui compliquent.
Oh, mon scanner de sécurité
a dit
qu'il y a un problème.
Vous devez le fixer.
Et ma réponse est que non,
je ne l'ai pas.
Je suis en train de le faire
avec une range de carat.
Je ne peux pas faire tout ça
comme vous ne pouvez pas.
Nous avons tout de même
de l'exploiter pour cette personne.
Et quand ils l'appli,
je ne vais pas avoir de l'exploiter.
Ou, mon réponse est que
je ne peux pas
réagir à la nouvelle version
parce que de ces raisons,
je suis malade avec cette version.
Donc, ils peuvent either
retourner pour le fixe,
s'il vous plaît.
Ou, c'est un fals positif
et vous pouvez juste l'ignorer.
Mais, il y a beaucoup...
Il y a beaucoup d'organisations
où les ingénieurs ne sont pas empouvelés
de l'ignorer
ces types de warnings
ou de les dégager.
Et, ces gens vont se battre
et ça s'arrête.
Oui, je pense
que quand vous parlez
de la dépendance directe,
c'est votre mouvement
pour faire.
Et les choses les plus grandes
que vous devriez créer
sont les choses que vous ne pouvez pas
fixer par rapport à l'updater.
Et, à l'idée,
tout le noise
vous dirait que
c'est le seul endroit
qui peut, qui est l'authentif
de cette dépendance transitive.
Et, en cas où c'est moi,
c'est bien.
Je dois fixer ce noise.
Je dois vraiment
réagir à la nouvelle version






de l'application.
Mais, dès que je l'ai fait,
c'est pas tout le monde.
Et,
vous savez,
les gens avec les lockfiles
qui peuvent faire l'upgrade,
ils ne savent pas ce qu'ils doivent faire.
Donc, dans votre issue,
vous faites
une pratique que pas beaucoup d'autres
personnes font dans l'économie MPM
où vous vous maintiez
l'élection d'une ligne de réchauffement.
Donc, dans ces cas,
vous vous piquiez à ces lignes de réchauffement?
Et, aussi, vous avez des outils
qui vous aiment faire ça?
Parce que ça semble
beaucoup de travail.
Oui,
donc,
les outils de réchauffement sont
pas très bien réchauffés.
Ils sont encore sur la V1,
donc je n'ai pas besoin de les faire.
Il y a un petit subset de packages
qui ont un peu de majeurs.
Et, donc, je vais essayer de
les rembourser à l'autre part,
pour les majeurs.
Et je vais vérifier ce site que je vous ai
mentionné, pour voir si ils sont
encore utilisés.
Si personne ne les utilise,
je vais m'occuper d'un point de vue.
Je vais m'occuper d'un point de vue.
Mais,
le seul outil que j'ai trouvé
que j'ai besoin,
c'est...
Et j'ai fait un package pour ça.
Il y a longtemps,
c'est appelé Safe Publish Latest.
Et,
quand vous essayez de publier un package,
si la version numéro que vous vous avez
publié est plus tard que la plus
plus tardée,
ça va arrêter la publication et vous dire
que vous êtes sûrs?
Parce que quand je l'ai fait pour ça,
parfois je l'ai accidentellement
marqué la V1 comme la plus tardée,
quand la V2 doit être la plus tardée.
Et ça peut briser beaucoup de systèmes, aussi.
Et c'est un outil que je veux
en NPM pour ajouter.
Et,
et pour
évaluer mon package.
Mais,
jusqu'à ce qu'ils puissent, c'est le outil que je vais utiliser.
D'autres que ça, c'est juste de voir.
Je vérifie la version tag que je suis branchée
et que j'ai
choisi de la recommandation et de modifier
ce que j'ai besoin et de
le mettre en place. Et ensuite,
je vais le publier.
Donc, comme nous rassemblons,
on toujours veut
demander à nos guests
quelque chose dans le futur.
Une question de face au futur.
Et pour vous,
et
spécialement, à propos des topics que nous avons
découvert,
qu'est-ce que vous pensez
au futur de
peut-être NPM ?
Ou plus généralement,
quel est le futur de package management
en JavaScript ?
Qu'est-ce que ça ressemble ?
Ok.
Je voudrais voir
GitHub
faire des fondations
qui ne sont pas les lettres AI.
Encore,
pour que NPM puisse avoir
le besoin de la fondation.
NPM doit avoir
100 personnes en plein temps.
Et je doute que ça a plus de 10.
Si c'est fixé,
j'imagine que le futur
est juste des improvements
continuent à l'imprimation
et la continuation de la
meilleure pratique pour la publication
des packages.
Et les choses vont continuer
à se faire mieux, gradually,
comme elles ont été.
Oui, c'était un monde très différent
d'un an.
Si ça ne se passe pas,
je pense que ça serait
comme un compétitif potentiel
pour NPM.
Et ils devraient avoir
un produit qui interopérate
NPM bien enough
et qui donne suffisamment de
bénéfits et de valeur
pour réinventer les gens.
C'est un challenge très dur.
J'espère que dans l'événement
que l'on n'a pas de
profondeur de NPM,
j'espère que l'un de eux
peut atteindre le meilleur
de tous les uns.
Je suis content de voir ce qui
s'occupe de ces autres.
Je ne suis pas d'accord avec NPM.
Même les UIs sont
parfois blessés.
C'est un peu d'abri.
Tout le travail que la team
a fait, et les années,
c'est bien.
Ils font de bon travail.
Il n'y a pas de plus
que de bon travail
pour les années.
Ce n'est pas un peu de la
personne qui a le budget.
Nous avons des questions.
Merci pour votre question.
C'était une belle conversation
sur l'économie de Note.
Je suis content d'être là.
Merci pour ce que vous faites.
Merci pour la conversation.
Je vous remercie
de votre perspective
et de votre guidance
pour avoir travaillé dans ce space
pour un temps long.
Je vous remercie
de la considération
pour les gens qui ne
probablement ne sont pas
beaucoup de représentations.
Je vous remercie.