Активизм в Open Source - это хорошо?

нет. я вообще плохо переношу общение ИРЛ. я подрабатывала преподаванием математики и программирования во время учёбы в универе (репетиторство для уже взрослых людей, которые готовились к поступлению в универ, к детям я даже не приближаюсь), чтобы прокормиться и снимать квартиру, но это была вынужденная мера, и было ужасно и я никогда в жизни не буду этим заниматься. вообще не моё. я, наоборот, стремлюсь к минимизации круга общения, всегда и везде.

я не думаю, что большинству разработчиков опенсорца есть дело до политики. как я уже говорила: котлеты - отдельно, мухи - отдельно. можно быть кем угодно в реальной жизни, иметь какие-то взгляды на политику и всякие прочие аспекты, но программирование не относится к этому всему от слова совсем. программирование - оно как наука: оно не может зависеть от контекста, потому что оно нейтрально само по себе. софт выполняет какие-то задачи, которые ирррелевантны к тому, какой пользователь его использует. и в принципе, GPL провозглашает равенство всех юзеров и свободу распространения ПО, и это правильно. никакой шовинизм не должен проникать в опенсорц. а эти вредители в npm (возможно, ещё где-то) - это дикость и какой-то пещерный атавизм. я вообще не представляю, что там в голове должно быть, чтобы разработчик внедрил малварь в публичный репозиторий.

могу предложить простое и изящное решение проблемы: не ставить npm. я лично так и делаю. прежде чем удалить что-нибудь ненужное, надо сначала его собрать и поставить. я решила вопрос гораздо проще: я его даже не собираю. я его просто убрала из репозитория. и как-то вообще даже не возникало необходимости это ставить. ничто на него не ссылается, ни для чего оно не нужно.

Кстати да. Если вот розарез надо чо из той помойки, ставим локально, выпиливаем херь, распространяем.

Просто вы образец уравновешенности и здравомыслия, вот и подумалось.

Ну вообще проблема не новая. Конечно раньше политических коммитов не было, ну или они были не такими известными. Но уязвимости в новых версиях пакетов не вчера изобрели.

От ВНЕЗАПНОГО коммита в библиотеку неплохо спасает фиксирование зависимостей. Ты доверяешь библиотеке версии «0.1.2» ну и используй ее. Нормальные репозитории не дают обновлять старые версии либ. С новыми библиотеками/версиями, вероятно, поможет только аудит кода. Загляни хотя бы мельком в репу. Добавление непонятно чего в проект это всегда риск. Даже если там нет специального злого коммита, могут быть баги которые тебе все сломают.

Кстати, всякие IT крупные компании так и делают. Заводят у себя репы с доверенными пакетами с фиксированными версиями. Тот же яндекс так делал(сейчас не знаю, т.к. уже не работаю там).