ohnefilter.blog

Ich war eigentlich mal ein massiver Fan von Open Source.

Aber mittlerweile heißt Open Source mit Pech auch einfach eine Dependency nach der anderen. Bestes Beispiel: lustiges Vibe Coding/LLM Enhanced Development mit React, Tailwind, npm install und co.

Zum Teil muss man heute reihenweise lustige Libs mit installieren, um das Zeug zum Laufen zu bringen. Die wiederum haben ihre eigenen Dependencies und am Ende installierst du mit Pech ein Dutzend Libs von 3 Dutzend Fremden. Klar, im Grunde fast egal. Wäre da nicht der Umstand, dass die Welt gar nicht nur aus lieben, harmlosen Menschen besteht, sonder zu einem nicht geringen Teil aus Trollen, Arschlöchern und Menschen, die Einem nichts Gutes wollen.

Man wird heute am Einfachsten Opfer eines „Hacks“, wenn man glaubt, man sei ein Entwickler, weil man blind und wahllose Dinge installiert, die ChatGPT, Claude und Gemini Einem halt geraten haben, weil sie für das, was die AI Agents einem auf den Prompt hin halt zusammengebaut haben, nötig sind.

Macht Euch mal den Spaß. Wenn Ihr sowas nutzt, lasst mal ein

npm audit

drüber laufen, aber setzt Euch vorher stabil hin.

Deswegen fand ich es auch schon immer etwas albern, wenn Hardcore Nerds und Techies mit aller Gewalt immer jeden zu Open Source überreden wollen, als wär das der neue Messias. Open Source heißt halt mit Pech auch Open Doors und während der Hardcorde Nerd und Techie da im Idealfall noch weiß, was er tut und wie er das safe gestaltet, ist das bei denen, denen die das empfehlen mitunter nicht so der Fall.

Je älter ich werde, desto weniger Lust habe ich, mir erstmal stundenlang Dutzende Libraries anzuschauen, wo sie herkommen, was welche Dependency hat, etc. Im Zweifel greife ich dann eben auf konventionelle Lösungen zurück. Die sind dann vielleicht nicht so hip und mächtig, aber wenigstens muss ich mir keine 3 Dutzend Fremdlibs besorgen, die wiederum ihrerseits mit Dutzende anderer Dependencies herunterladen und am Ende sitz ich dann mit Tausenden Vulnerabilities da.