Sono un fan di node js, ed è una grande community.
Però è un ecosistema cresciuto in modo tumultuoso, in cui il progetto più piccolo colleziona dipendenze a rullo… finché poi vedi durante le build cose come del tipo:
cioè io non so chi sia sto zloirock però non mi è mai successo di mettere un messaggio del tipo “assumimi” durante l’installazione di un software…. peraltro nella fase di post-install.
Questo la dice lunga
- Sul livello di sicurezza di npm
- Sulla cultura intorno a queste questioni, visto che non è il solo a fare queste porcatelle
Riguardo core-js è stato aperto anche un ticket su questo problema che ha creato spam e anche reazioni scomposte, con la conclusione che il messaggio imbarazzante sia ancora lì.
Ora io mi dico, in anni e anni di software open source, nessuno si è mai sognato di mettere un messaggio di questo tipo durante una installazione di un package di maven, di python, di ruby o di PHP (o perlomeno saranno casi isolati).
Nel tuo sito web puoi fare quello che vuoi, ma se crei software open source non ti “vendi” in questo modo, ci sono altri mille modi per monetizzare quello che fai, se è di valore.
…Questa è gente che alla riunione di condominio ti chiede se hai un lavoro da dargli…