Skeletonic Stylus

Vykon

Vykon je bezpecnostni opatreni. Kazdy nedodany bajt je o jeden bajt mene k auditu, podpisu a overeni.

Dodavatelsky retezec ve zkratce

Opatreni Stav v2.0.0
CycloneDX SBOM Generovano pri kazdem vydani, ulozeno v dist/sbom.json
npm provenance Povoleno (--provenance --access public)
Podepsane git tagy SSH podepsane klícem spravce
Fixovany Dependabot Tydenni aktualizace, automaticky kontrolovano
Rozpocty velikosti size-limit strop 8 KB gzipped, selhani CI pri regresi
Lint stylelint + kontroly pristupnosti pri kazdem pushi
CodeQL Povoleno pro javascript a konfiguracni soubory
CVE-2023-44270 Opraveno pres pnpm.overrides nahrazenim postcss@7

CycloneDX SBOM

Kazdy publikovany tarball obsahuje CycloneDX SBOM v dist/sbom.json. Cerstve nainstalovan balicek muzete overit pomoci:

pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
  node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"

SBOM je generovan nastrojem cyclonedx-npm behem publikacniho workflow.

npm provenance

Publikovany artefakt je podepsan pomoci npm package provenance.

Po instalaci jej muzete overit pomoci:

npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
  jq '.dist."npm-signature"'

Podepsane osvedceni propojuje tarball s presnym behem GitHub Actions, ktery jej vytvoril.

Zname CVE a opravy

CVE Zavaznost Stav
CVE-2023-44270 (postcss parsovani konce radku) Stredni Opraveno ve v2.0.0 pres pnpm.overrides aktualizaci postcss na ≥ 8.4.31

Databaze Snyk a feed GitHub Security Advisories jsou prubezne sledovany; bezpecnostni opravy jsou dodavany jako patch vydani.

Nahlaseni zranitelnosti

Prosime, neotvirejte verejny GitHub issue pro bezpecnostni hlasenÍ. Misto toho pouzijte soukromy kanal na:

github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new

Hlaseni jsou potvrzovana do 72 hodin a oprava je dodana behem 14 dnu pro stredne zavazne problemy, 48 hodin pro kriticke.

Zpet na domovskou stranku → · Prectete si seznam zmen →