Skeletonic Stylus

পারফরম্যান্স

• 38.8 KB মিনিফাইড · 7.7 KB gzipped · 6.7 KB brotli সম্পূর্ণ মূল স্টাইলশিটের জন্য।
• শূন্য জাভাস্ক্রিপ্ট — বিশুদ্ধ Stylus → বিশুদ্ধ CSS, কোনো রানটাইম খরচ নেই।
• Cascade-layered — !important ছাড়াই ওভাররাইড জেতে।
• size-limit বাজেট প্রতিটি কমিটে CI-তে বাধ্যতামূলক।

পারফরম্যান্স একটি নিরাপত্তা নিয়ন্ত্রণ। প্রতিটি বাইট যা শিপ করা হয় না তা অডিট, স্বাক্ষর ও যাচাই করার একটি কম বাইট।

সাপ্লাই-চেইন সারসংক্ষেপ

---

CycloneDX SBOM

প্রতিটি প্রকাশিত tarball-এ dist/sbom.json-এ একটি CycloneDX SBOM অন্তর্ভুক্ত। আপনি সদ্য ইনস্টল করা প্যাকেজ যাচাই করতে পারেন:

pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
  node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"

SBOM প্রকাশ ওয়ার্কফ্লোতে cyclonedx-npm দিয়ে তৈরি হয়।

---

npm provenance

প্রকাশিত আর্টিফ্যাক্ট npm package provenance ব্যবহার করে স্বাক্ষরিত।

ইনস্টলের পর এটি যাচাই করতে পারেন:

npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
  jq '.dist."npm-signature"'

স্বাক্ষরিত attestation tarball-কে সেই সঠিক GitHub Actions রানের সাথে সংযুক্ত করে যেটি এটি তৈরি করেছে।

---

পরিচিত CVE ও প্যাচ

Data table table

CVE	তীব্রতা	অবস্থা
CVE-2023-44270 (postcss line return parsing)	মধ্যম	pnpm.overrides দিয়ে postcss ≥ 8.4.31 এ আপগ্রেড করে v2.0.0-এ প্যাচড

Snyk পরামর্শ ডেটাবেস ও GitHub Security Advisories ফিড ক্রমাগত পর্যবেক্ষণ করা হয়; নিরাপত্তা প্যাচ patch-level রিলিজ হিসেবে শিপ করা হয়।

---

দুর্বলতা রিপোর্ট করা

অনুগ্রহ করে নিরাপত্তা রিপোর্টের জন্য পাবলিক GitHub ইস্যু খুলবেন না। পরিবর্তে, প্রাইভেট চ্যানেল ব্যবহার করুন:

github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new

রিপোর্ট ৭২ ঘণ্টার মধ্যে স্বীকৃত হয় এবং মধ্যম সমস্যার জন্য ১৪ দিনের মধ্যে, জটিল সমস্যার জন্য ৪৮ ঘণ্টার মধ্যে ফিক্স শিপ করা হয়।

হোমে ফিরে যান → · পরিবর্তন তালিকা পড়ুন →