Skeletonic Stylus

Performance

• 45,7 Ko minifié · 8,3 Ko gzippé · 6,9 Ko brotli pour la feuille de style principale complète.
• Zéro JavaScript — Stylus pur → CSS pur, aucun coût à l'exécution.
• Couches de cascade — les surcharges l'emportent sans !important.
• Budget size-limit appliqué en CI sur chaque commit.

La performance est un contrôle de sécurité. Chaque octet non livré est un octet de moins à auditer, signer et vérifier.

Résumé de la chaîne d'approvisionnement

---

SBOM CycloneDX

Chaque tarball publié inclut un SBOM CycloneDX à dist/sbom.json. Vérification d'un paquet fraîchement installé :

pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
  node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"

Le SBOM est généré avec cyclonedx-npm lors du workflow de publication.

---

Provenance npm

L'artefact publié est signé via la provenance de paquet npm.

Vérification après installation :

npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
  jq '.dist."npm-signature"'

L'attestation signée lie le tarball à l'exécution exacte de GitHub Actions qui l'a produit.

---

CVE connues et correctifs

Data table table

CVE	Gravité	Statut
CVE-2023-44270 (analyse de retour à la ligne postcss)	Modérée	Corrigée en v2.0.0 via pnpm.overrides mettant à jour postcss vers ≥ 8.4.31

La base de données Snyk et les avis de sécurité GitHub sont surveillés en continu ; les correctifs de sécurité sont livrés en versions patch.

---

Signaler une vulnérabilité

Merci de ne pas ouvrir de ticket GitHub public pour un signalement de sécurité. Utilisez plutôt le canal privé :

github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new

Les signalements sont accusés de réception sous 72 heures et un correctif est livré sous 14 jours pour les problèmes modérés, 48 heures pour les problèmes critiques.

Retour à l'accueil → · Lire le journal des modifications →