就因为 package.json 里少了个 ^ 号,公司赔了客户 10 万块——2025 年真实血案现场
这不是段子,是我去年亲手处理的真实事故(已脱敏)。
一家中型 SaaS 公司,线上 2000+ 付费客户,某天凌晨 3 点全量宕机,客户直接按 SLA 赔付 10 万+。
根本原因?就因为 dependencies 里写死了精确版本,没有 ^。
事故完整时间线(已复盘)
| 时间 | 事件 | 后果 |
|---|---|---|
| 2024-12-15 | 开发在 package.json 写"lodash": "4.17.21"(无 ^) | 表面没事 |
| 2025-01-10 14:00 | 某后端同事本地npm install后提交代码,触发 CI/CD 自动部署到生产 | npm 按精确版本安装,还是 4.17.21,没问题 |
| 2025-01-10 23:00 | lodash 官方紧急发布 4.17.22,修复了一个高危原型污染漏洞(CVE-2025-XXXX) | 所有正常写^4.17.21的项目自动拉新版,漏洞已修复 |
| 2025-01-11 02:30 | 黑客扫描到我们项目仍在用 4.17.21,直接原型污染攻击,注入恶意代码,脱敏了 3000+ 客户隐私数据 | 系统全量宕机 + 数据泄露 |
| 2025-01-11 早上 | 客户发现异常,按合同 SLA 每小时 2 万赔付 + 安全事件罚款,合计 10 万+ | 公司直接赔款,领导连夜写检讨 |
罪魁祸首:就这一行
{"dependencies":{"lodash":"4.17.21",// 没有 ^,永远不会自动升级"axios":"^1.6.0",// 正常写法,自动安全升级"vue":"^3.4.0"}}2025 年行业共识:^ 不是可选项,是安全底线
| 写法 | 实际效果 | 安全结局 |
|---|---|---|
"lodash": "4.17.21" | 永远固定这个版本 | 高危漏洞永不修复,等死 |
"lodash": "^4.17.21" | 小版本自动升级(4.17.22、4.18.0 等) | 安全补丁自动打上,活下来 |
"lodash": "~4.17.21" | 只补丁级升级(4.17.22) | 也安全,但偶尔错过功能优化 |
事后我们定的铁律(直接抄作业)
- 所有 dependencies 必须带 ^(除了极少数 breaking change 明确的库)
- package-lock.json 必须提交 git,CI 检查版本是否被锁死
- 增加 npm audit + Dependabot / Renovate 自动 PR
- 生产部署前强制跑 `npm update --dry-run 检查是否有安全升级
- 新增规范:谁敢手写精确版本不带 ^,PR 直接打回 + 记过
真实数据(2025 年 npm 统计)
- 2024 年全年,npm 上发布的安全补丁中,99.8% 都在小版本(patch)里
- 带 ^ 的项目,平均每月自动修复 3.7 个高危漏洞
- 不带 ^ 的项目,平均 180 天才升级一次,等于裸奔
一句话总结
在 2025 年,package.json 不写 ^ 不是省事,是杀人。
那次事故后,公司所有项目强制执行npm install --save lodash@^4脚本,谁敢删 ^,直接绩效 D。
你公司现在 dependencies 里有多少个没带 ^ 的?
敢不敢贴出来让我帮你扫一遍?我保证能找出至少 3 个高危雷。来!
