*GIANT FACEPALM*
En tant que développeur, cette affaire est juste lamentable. Oui c'est super le packaging et le déploiement automatique des dépendances, mais en DEV, BORDEL, EN DEV.
En prod, vous devriez héberger et déployer vous-même vos dépendances. Sinon ce n'est pas seulement la porte ouverte à des blocages de déploiement en cas de problème, mais aussi de très sérieuses failles de sécurité.
Et si un exploit js avait été injecté dans cette fameuse lib ? Vous imaginez le nombre de sites compromis ?
Combien votre projet a-t-il de dépendance installées automatiquement ?
Savez-vous si le développeur de chaque module protège bien ses mots de passe et ses clés Git ?
(Si vous n'êtes pas au courant de cette histoire, les explications chez Korben:
http://korben.info/11-lignes-de-codes-disparaissent-centaines-de-projets-open-source-mis-a-mal.html
Et pour info, le site left-pad.io est juste un site humouristique, une blag de développeur)
(via Sam&Max)