"npm" ist ja nur ein symptomatisches Beispiel dafür. Genau dasselbe Problem haben auch "cargo", die Eclipse-Plugins, CPAN usw.
Ich verstehe natürlich dass solche Repositories nötig sind, damit die Entwickler der entsprechenden Extensions diese dorthin hochladen können.
Aber ich bin absolut dagegen, dass andere Entwickler ohne genauere Prüfung einfach die dort veröffentlichten Erweiterungen herunterladen und in ihre eigenen Anwendungen einbauen, ohne dass dazwischen ein Qualitätssicherungs-Schritt eingeschoben wird!
Dieser kann z. B. darin bestehen, dass die Package-Maintainer einer Linux-Distri ein Paket vom Repository holen, es auf Qualitätsmängel hin untersuchen und es dann als installierbares Paket in ihren eigenen Repositories anbieten.
Und ab besten bieten sie es dort nicht gleich für die Allgemeinheit an, sondern erst einmal zum Testen.
Debian etwa fügt neue Pakete erst einmal im "unstable"-Zweig seiner Repositories hinzu der von normalen Benutzern nicht verwendet wird sondern nur von besonders wagemutigen Alpha-Testern.
Nach einer gewissen Zeit, wenn diese keine gröberen Probleme gefunden haben, kommt es dann in den "testing"-Zweig. Auch dieser wird von normalen Benutzern nicht verwendet, nur von wagemutigen die sich nicht davor fürchten doch ab und zu den einen oder anderen Bug zu entdecken.
Und erst wenn mehrere Monate vergangen sind ohne das die User in "testing" ein Problem fanden, wird das Paket schließlich in "stable" für die große Mehrheit der Debian-User frei gegeben.
Wenn ich oben "Paket" schreibe, meine ich damit jede einzelne neue Version einer Software die veröffentlicht wird, nicht nur einen einmaligen Zulassungs-Vorgang für diese Software im Allgemeinen.
Wenn eine neue Version all diese Stufen durchlaufen hat, kann man in der Regel *einigermaßen* zuversichtlich sein dass sie zuverlässig und ohne Probleme zu verursachen funktionieren wird.
Garantien gibt es natürlich nie, aber Vorfälle wie der im Artikel erwähnte mit npm kommt unter solchen Umständen nur sehr selten vor. In der Regel überhaupt nicht, sehr selten in "testing", eine gewisse Gefahr besteht in "unstable".
Es ist zwar sehr sexy immer die allerneuesten Features einer Software zur Verfügung zu haben.
Das gilt für Entwickler genau wie für Endanwender.
Aber in ihrer Euphorie immer das tollste und neueste haben zu müssen und zwar SOFORT, lässt die Problematik der Sicherheit und Stabilität außer acht.
Besonders problematisch sehe ich das bei Build-Tools, die gar nicht erst die Möglichkeit vorsehen ihre Extensions von woanders her als aus dem Online-Repository zu beziehen. Und schlimmer noch, wenn dies vollautomatisch als Teil des Build-Prozesses getan wird, ohne dass der Entwickler sich (zumutbar einfach) für eine alternative Paketquelle entscheiden kann.
So entsteht dann zwar "sehr tolle" Software, die aber ständig von Sicherheitsproblemen gequält wird, da die Malware-Autoren auch keine Idioten sind und solche Entwickler-Repositories als niedrig hängende Früchte identifiziert haben, wie sie ihre Malware-Loader in andere Applikationen injizieren können.