Yarn 2介绍！

经过365天集中的开发，迎来了Yarn 2的第一个稳定发行版。作者在文中详细介绍了这件事对社区来说意味着什么。 总览 描述这次发行版本有点困难，它包含主程序，革命性变更，产生于我们日常使用的一些特性的合集等。 强调内容 The output got redesigned for...

Node.js TSC确认：不打算从发行版中删除npm

Node.js技术指导委员会已确认，在持续讨论启用Corepack默认设置的情况下，将npm从Node.js发行版中移除不是项目的目标。 Node.js技术指导委员会（TSC）本周举行了会议，并在关于启用Corepack默认设置的更广泛讨论中做出了一些关键决定。与会成员确...

在 NPM workspace 中使用 Vite 重新构建本地依赖

在 Prosopo，我们使用 Vite 构建应用程序。我们有一个包含多个相互依赖的包的单体仓库结构。当我们对 Vite 项目所依赖的包进行更改时，Vite 不会自动重新构建本地包依赖项，因为它位于模块图之外。本文解释了如何让 Vite 在 NPM 工作区中重新构建本地依赖。 NP...

一个单一漏洞如何能够摧毁JavaScript生态系统

引言 在软件开发的世界里，我们经常想当然地认为我们日常依赖的工具和平台是安全和可靠的。我们假设我们下载的包和我们使用的注册表是安全和值得信赖的。然而，在Lupin & Holmes，我们最近发现了npm注册表上的一个缓存投毒攻击，这是JavaScript最大的包注册表之一，可能暴...

研究人员揭露 npm 注册表易受缓存投毒和 DoS 攻击的漏洞

本月早些时候，Lupin & Holmes 的研究人员展示了 npm 注册表 结合 DoS（拒绝服务）攻击时 易受缓存投毒 的情况，揭示了对 npm 包的完整性和可用性的潜在风险。 缓存投毒拒绝服务（CPDoS）是一种针对禁用网络资源和网站的相对较新的 Web 缓存投毒攻击 类...

2024 年如何创建一个NPM包

在本指南中，我们将经历发布一个包到npm所需的每一个步骤。 这不是一个极简指南。我们将从一个空目录开始设置一个完全生产就绪的包。这将包括： Git 用于版本控制 TypeScript 用于编写我们的代码并保持类型安全 Prettier 用于格式化我们的代码 @arethetyp...