ביצועים
- 38.8 KB ממוזער · 7.7 KB בדחיסת gzip · 6.7 KB brotli עבור גיליון הסגנונות הליבתי המלא.
- אפס JavaScript — Stylus טהור ← CSS טהור, ללא עלות ריצה.
- מאורגן בשכבות קסקייד — דריסות מנצחות ללא
!important. - תקציבי
size-limitנאכפים ב-CI בכל commit.
ביצועים הם בקרת אבטחה. כל בית שלא נשלח הוא בית פחות לביקורת, חתימה ואימות.
שרשרת אספקה בקיצור
| בקרה | סטטוס v2.0.0 |
|---|---|
| SBOM מסוג CycloneDX | נוצר בכל שחרור, מועבר תחת dist/sbom.json |
| מקוריות npm | מופעלת (--provenance --access public) |
| תגי git חתומים | חתומים ב-SSH על ידי מפתח המתחזק |
| Dependabot נעוץ | עדכונים שבועיים, סקירה אוטומטית |
| תקציבי גודל | size-limit תקרת 8 KB בדחיסת gzip, נכשל CI בנסיגה |
| Lint | stylelint + הצהרות נגישות בכל push |
| CodeQL | מופעל עבור javascript וקבצי תצורה |
| CVE-2023-44270 | תוקנה דרך pnpm.overrides שמשדרגת postcss@7 |
SBOM מסוג CycloneDX
כל ארכיון שפורסם כולל SBOM מסוג CycloneDX ב-dist/sbom.json.
תוכלו לאמת חבילה שהותקנה זה עתה עם:
pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"
ה-SBOM נוצר עם cyclonedx-npm במהלך תהליך הפרסום.
מקוריות npm
הארטיפקט שפורסם חתום באמצעות מקוריות חבילת npm.
תוכלו לאמת זאת לאחר ההתקנה עם:
npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
jq '.dist."npm-signature"'
האישור החתום מקשר את הארכיון בחזרה להרצת GitHub Actions המדויקת שייצרה אותו.
CVE ידועים ותיקונים
| CVE | חומרה | סטטוס |
|---|---|---|
| CVE-2023-44270 (ניתוח שורה חדשה ב-postcss) | בינונית | תוקנה ב-v2.0.0 דרך pnpm.overrides שמשדרגת postcss ל-8.4.31 ומעלה |
מאגר ההמלצות של Snyk ועדכוני GitHub Security Advisories מנוטרים באופן רציף; תיקוני אבטחה נשלחים כשחרורי טלאי.
דיווח על פגיעות
אנא אל תפתחו issue ציבורי ב-GitHub לדיווח אבטחה. במקום זאת, השתמשו בערוץ הפרטי בכתובת:
github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new
דיווחים מאושרים תוך 72 שעות ותיקון נשלח תוך 14 יום לבעיות בינוניות, 48 שעות לקריטיות.