yt-dlp thông báo hạn chế và đánh dấu hỗ trợ Bun là lỗi thời

yt-dlp thông báo hạn chế và đánh dấu hỗ trợ Bun là lỗi thời

Công cụ tải video dòng lệnh phổ biến yt-dlp vừa đưa ra thông báo quan trọng về việc hỗ trợ runtime JavaScript Bun. Theo đó, việc hỗ trợ Bun sẽ bị hạn chế và đánh dấu là lỗi thời (deprecated) do những lo ngại nghiêm trọng về tính tương thích và bảo mật.

Lý do về bảo mật

Một trong những nguyên nhân chính dẫn đến quyết định này liên quan đến các lỗ hổng bảo mật trong thư viện ejs. Đội ngũ phát triển yt-dlp cho biết việc xây dựng gói ejs với các phiên bản Bun cũ hơn 1.2.0 sẽ dẫn đến việc tệp khóa (lockfile) bị bỏ qua.

Đây được coi là một rủi ro bảo mật lớn, đặc biệt trong bối cảnh các cuộc tấn công chuỗi cung ứng npm (npm supply chain attacks) đang gia tăng. Do đó, phiên bản Bun tối thiểu được hỗ trợ đã được nâng từ 1.0.31 lên 1.2.11. Phiên bản 1.2.11 được chọn làm mức sàn vì bộ kiểm thử của ejs không thể chạy ổn định trên các phiên bản Bun cũ hơn.

Lo ngại về chất lượng mã nguồn và sự chuyển hướng sang AI

Ngoài vấn đề bảo mật, yt-dlp còn bày tỏ sự lo ngại về hướng đi phát triển của Bun. Theo thông báo, Bun gần đây đã được viết lại bằng ngôn ngữ Rust sử dụng công cụ AI Claude. Đội ngũ phát triển yt-dlp mô tả quá trình này đang chuyển hướng theo phong cách "vibe-coded" (viết code dựa trên cảm hứng hoặc sự hào hứng nhất thời, thường thiếu sự kiểm chứng kỹ lưỡng).

Họ coi đây là một tín hiệu đáng báo động và gây thất vọng, dự báo rằng điều này sẽ tạo ra những rắc rối lớn trong việc bảo trì trong tương lai. Để tránh các vấn đề này, yt-dlp đã thiết lập mức trần hỗ trợ ở phiên bản Bun 1.3.14 — đây là bản phát hành cuối cùng được xây dựng dựa trên codebase gốc bằng ngôn ngữ Zig.

Tương lai của việc hỗ trợ Bun

Mặc dù yt-dlp sẽ tiếp tục hỗ trợ phạm vi hẹp hơn các phiên bản Bun này miễn là chúng vẫn đáp ứng được nhu cầu của dự án, nhưng họ giữ quyền loại bỏ hoàn toàn sự hỗ trợ cho Bun nếu việc bảo trì trở nên quá phức tạp hoặc tốn kém.

Người dùng đang sử dụng Bun với yt-dlp được khuyến khích cập nhật lên các phiên bản được hỗ trợ hoặc cân nhắc chuyển sang các runtime JavaScript khác để đảm bảo tính ổn định và an toàn cho hệ thống.