Bun 지원이 제한되고 폐기되었습니다

출처: Hacker News

예측 가능한 호환성 및 보안 문제로 인해, yt‑dlp가 ejs와 호환되는 JavaScript 런타임으로서 Bun에 대한 지원을 제한하고 폐기합니다.

다음 yt‑dlp 및/또는 ejs 릴리스부터는 Bun 버전 1.2.11부터 1.3.14까지만 지원됩니다. 이 변경의 이유는 두 가지입니다:

• 최소 요구 버전을 1.0.31에서 1.2.11로 올리는 이유는 1.2.0 이전 버전으로 ejs 패키지를 빌드하면 ejs lockfile이 무시되어, 최근 npm 공급망 공격들을 고려할 때 사용자에게 심각한 보안 위험이 발생하기 때문입니다. 또한 ejs 테스트 스위트가 1.2.11 이전의 Bun에서는 실행되지 않으므로 지원 최소 버전을 1.2.0이 아닌 1.2.11로 올립니다.
• Bun이 최근 Claude를 이용해 Rust로 재작성되었으며, 개발 방향이 완전한 “vibe‑code” 방식으로 전환된 것으로 보입니다. 이는 여러 이유로 우려와 실망을 불러일으키며, 앞으로 발생할 수 있는 골칫거리를 피하고자 합니다. 따라서 원래 Zig 코드베이스에서 빌드된 마지막 릴리스인 1.3.14를 지원 상한선으로 설정합니다.

Bun 지원은 또한 폐기될 예정입니다. 이는 yt‑dlp가 이 좁은 범위의 Bun 버전을 yt‑dlp와 ejs의 요구를 충족하는 한 계속 지원하겠지만, 유지보수가 지나치게 부담스러워질 경우 언제든지 완전히 지원을 중단할 권리를 보유한다는 의미입니다.

지원되는 JavaScript 런타임에 대한 자세한 내용은 EJS 위키 문서를 참고하시기 바랍니다. 단, 이 문서는 아직 본 게시물에서 발표된 변경 사항을 반영하지 않았습니다.