Skeletonic Stylus

Rendimiento

• 45,7 KB minificado · 8,3 KB gzipped · 6,9 KB brotli para la hoja de estilos principal completa.
• Cero JavaScript — Stylus puro → CSS puro, sin coste en tiempo de ejecucion.
• Organizado en capas de cascada — las sobrescrituras prevalecen sin !important.
• Presupuesto size-limit aplicado en CI en cada commit.

El rendimiento es un control de seguridad. Cada byte que no se envia es un byte menos que auditar, firmar y verificar.

Resumen de cadena de suministro

---

SBOM CycloneDX

Cada tarball publicado incluye un SBOM CycloneDX en dist/sbom.json. Puedes verificar un paquete recien instalado con:

pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
  node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"

El SBOM se genera con cyclonedx-npm durante el workflow de publicacion.

---

Procedencia npm

El artefacto publicado esta firmado usando procedencia de paquetes npm.

Puedes verificarlo tras la instalacion con:

npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
  jq '.dist."npm-signature"'

La atestacion firmada vincula el tarball con la ejecucion exacta de GitHub Actions que lo produjo.

---

CVEs conocidos y parches

Data table table

CVE	Severidad	Estado
CVE-2023-44270 (analisis de retorno de linea en postcss)	Moderada	Parcheado en v2.0.0 via pnpm.overrides actualizando postcss a ≥ 8.4.31

La base de datos de avisos de Snyk y el feed de GitHub Security Advisories se monitorizan de forma continua; los parches de seguridad se publican como releases de nivel patch.

---

Reportar una vulnerabilidad

Por favor, no abras un issue publico en GitHub para un reporte de seguridad. En su lugar, utiliza el canal privado en:

github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new

Los reportes se confirman en 72 horas y se publica una correccion en 14 dias para problemas moderados, 48 horas para problemas criticos.

Volver al inicio → · Leer el registro de cambios →