Problem mit automatischem testen in Github

apollon77

Update: https://github.com/Marak/colors.js/issues/289 ... Müssen nachdenken

Und ja meine tests gehen auch nimmer

die "colors" 1.4.0 tut ... 1.4.1 und 1.4.2 is broken

dhilt created this issue in Marak/colors.js

closed v1.4.2 is broken #289

apollon77

Ok habe als schnelle reaktion mal https://github.com/flatiron/prompt/issues/220 angelegt was zumindestens bei mir die herkunft von colors ist. winston hat für winston und logform vor 1h schon eine neue Version released und es auf die 1.4.0 gepinnt. Das waren die anderen zwei "herkünfte"

Apollon77 created this issue in flatiron/prompt

closed URGENT!!!! colos 1.4.x is broken! YOur dependency will get this version! #220

Thomas Braun

Und genau deswegen angelt man ja auch keinen Code aus GitHub sondern bleibt bei den Default oder Beta-Repos. Aus GitHub / 'über die Katze' nur wenn der Entwickler euch dazu auffordert das zu tun!
Oh...

️ Sorry, ich konnte nicht widerstehen...

foxriver76

@oliverio sagte in Problem mit automatischem testen in Github:

@alcalzone
danke, habe gerade gesehen @foxriver76 hat da commited

Der hat keinen Einfluss darauf so viele Pakete zu zerstören.

apollon77

@thomas-braun Er ist der Entwickler :-))) Ggf sollte man das Posting eher ins Entwickler forum schieben

@OliverIO restart testing ... bei mir geht es wieder ... scheinbar hat es gereicht das winstom die Pakete pinnt ... mal weiter schauen

foxriver76

@thomas-braun allgemein ja, leider tut das auch normale Installationen betreffen und war mehr oder minder böswillige Absicht.

Neue Minor Version einer Dep die sehr viele Projekte nutzen mit einer infinity loop bestückt.

apollon77

@foxriver76 sagte in Problem mit automatischem testen in Github:

Neue Minor Version einer Dep die sehr viele Projekte nutzen mit einer infinity loop bestückt.

sogar nur neue patch Version

apollon77

Ok, aktueller Stand ist das ioBroker wieder installiert. Pot betroffen sind noch zwei CLI Funktionen: setup multihost und setup User via CLI. Das braucht noch https://github.com/flatiron/prompt/pull/219

micalevisk created this issue in flatiron/prompt

closed fix: pin the version of `colors` dependency #219

OliverIO

@apollon77

Interessanter Artikel zum aktuellen problem.
Bin ja mal gespannt was da noch rauskommt

https://www.theverge.com/2022/1/9/22874949/developer-corrupts-open-source-libraries-projects-affected

Thomas Braun

@oliverio

Dann muss der ioBroker auch kostenpflichtig werden? Sonst werden wilde Dinge mit der Heizung und der Beleuchtung angestellt?

apollon77

@thomas-braun Nicht so hilfreich Ich glaube eine Endlosschleife ist kein Angriffsszenario ... es ist "nur ne Denial of Service"

Hansi1234

@apollon77 golem hat auch etwas dazu geschrieben link

sigi234

@foxriver76 sagte in Problem mit automatischem testen in Github:

mehr oder minder böswillige Absicht.

Warum macht das ein Entwickler?

OliverIO

@apollon77
Ich glaube das geht noch etwas weiter als: da hat der Entwickler einen Fehler gemacht.

Was ich rausgelesen habe ist, der Entwickler selber hat keinen Zugriff mehr auf githubNPM, von daher ist nicht ganz klar, ob er das selber committed hat oder jemand anderes.
Darüber hinaus ist auch noch ein weiteres Repository (faker.js) betroffen, das eine ähnliche Reichweite hat.

apollon77

@oliverio Also es ist für mich, wenn man alles liesst sehr klar das der Dev das selbst aus "Frust" gemacht hat ... aber die ganzen Details, was auch viel halbgares, Annahmen, Anschuldigungen und sonstwas bestehen, will ich jetzt hier nicht breittreten. Am Ende ists alles undurchsichtig was WIRKLICH los ist, aber was für mich klar ist, ist das GitHub erst nach der faker.js "kastrrierung" was getan gesperrt hat und da wars für colors auch schon zu spät ...