Leistung
- 45,7 KB minifiziert, 8,3 KB gzipped, 6,9 KB brotli fuer das gesamte Core-Stylesheet.
- Kein JavaScript — pures Stylus zu purem CSS, keine Laufzeitkosten.
- Cascade-Layered — Ueberschreibungen greifen ohne
!important. size-limit-Budget in CI erzwungen bei jedem Commit.
Leistung ist eine Sicherheitskontrolle. Jedes nicht ausgelieferte Byte ist ein Byte weniger, das auditiert, signiert und verifiziert werden muss.
Lieferkette im Ueberblick
| Kontrolle | Status in v2.0.0 |
|---|---|
| CycloneDX SBOM | Bei jedem Release generiert, committet unter dist/sbom.json |
| npm provenance | Aktiviert (--provenance --access public) |
| Signierte Git-Tags | SSH-signiert durch den Maintainer-Schluessel |
| Gepinnter Dependabot | Woechentliche Aktualisierungen, automatisch geprueft |
| Groessenbudgets | size-limit mit 8-KB-gzipped-Obergrenze, bricht CI bei Regression ab |
| Lint | stylelint + a11y-Assertions bei jedem Push |
| CodeQL | Aktiviert fuer javascript und Konfigurationsdateien |
| CVE-2023-44270 | Behoben via pnpm.overrides durch Flush von postcss@7 |
CycloneDX SBOM
Jeder veroeffentlichte Tarball enthaelt ein CycloneDX SBOM unter dist/sbom.json.
Ein frisch installiertes Paket laesst sich wie folgt verifizieren:
pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"
Das SBOM wird mit cyclonedx-npm waehrend des Publish-Workflows generiert.
npm Provenance
Das veroeffentlichte Artefakt wird mittels npm Package Provenance signiert.
Nach der Installation laesst es sich wie folgt verifizieren:
npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
jq '.dist."npm-signature"'
Die signierte Attestierung verknuepft den Tarball mit dem exakten GitHub-Actions-Lauf, der ihn erzeugt hat.
Bekannte CVEs und Patches
| CVE | Schweregrad | Status |
|---|---|---|
| CVE-2023-44270 (postcss line return parsing) | Mittel | Behoben in v2.0.0 via pnpm.overrides durch Upgrade von postcss auf >= 8.4.31 |
Die Snyk-Advisory-Datenbank und der GitHub-Security-Advisories-Feed werden kontinuierlich ueberwacht; Sicherheitspatches erscheinen als Patch-Level-Releases.
Eine Sicherheitsluecke melden
Bitte kein oeffentliches GitHub-Issue fuer Sicherheitsmeldungen erstellen. Stattdessen den privaten Kanal nutzen:
github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new
Ziel ist es, Meldungen innerhalb von 72 Stunden zu bestaetigen und einen Fix innerhalb von 14 Tagen fuer moderate Probleme bzw. 48 Stunden fuer kritische Probleme bereitzustellen.