Skeletonic Stylus

الأداء

الأداء هو ضابط أمني. كل بايت لا يُرسل هو بايت أقل للتدقيق والتوقيع والتحقق.

ملخص سلسلة التوريد

الضابط حالة الإصدار 2.0.0
قائمة مواد CycloneDX تُولّد مع كل إصدار، محفوظة تحت dist/sbom.json
مصدر npm مُفعّل (--provenance --access public)
وسوم git موقّعة موقّعة بمفتاح SSH للمشرف
Dependabot مثبّت ترقيات أسبوعية، مراجعة تلقائية
ميزانيات الحجم size-limit حد أقصى 8 كيلوبايت مضغوط، يُفشل CI عند التراجع
فحص stylelint + تأكيدات إمكانية الوصول مع كل دفع
CodeQL مُفعّل لـ javascript وملفات التكوين
CVE-2023-44270 مرقّع عبر pnpm.overrides لتحديث postcss@7

قائمة مواد CycloneDX

كل حزمة tarball منشورة تتضمن قائمة مواد CycloneDX في dist/sbom.json. يمكنك التحقق من حزمة مثبّتة حديثًا بـ:

pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
  node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"

تُولّد قائمة المواد بـ cyclonedx-npm أثناء سير عمل النشر.

مصدر npm

الحزمة المنشورة موقّعة باستخدام مصدر حزمة npm.

يمكنك التحقق منها بعد التثبيت بـ:

npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
  jq '.dist."npm-signature"'

التصديق الموقّع يربط حزمة tarball بتشغيل GitHub Actions الدقيق الذي أنتجها.

الثغرات المعروفة والترقيعات

CVE الخطورة الحالة
CVE-2023-44270 (تحليل سطر الإرجاع في postcss) متوسطة مرقّعة في الإصدار 2.0.0 عبر pnpm.overrides لترقية postcss إلى ≥ 8.4.31

تُراقَب قاعدة بيانات Snyk الاستشارية وتنبيهات أمان GitHub باستمرار؛ ترقيعات الأمان تُشحن كـ إصدارات ترقيعية.

الإبلاغ عن ثغرة

يرجى عدم فتح مشكلة عامة على GitHub للإبلاغ عن ثغرة أمنية. بدلًا من ذلك، استخدم القناة الخاصة في:

github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new

يتم الإقرار بالتقارير خلال 72 ساعة ويُشحن الإصلاح خلال 14 يومًا للمشكلات المتوسطة، و48 ساعة للحرجة.

العودة إلى الرئيسية → · اقرأ سجل التغييرات →