Skeletonic Stylus

Performa

• 45,7 KB diminifikasi · 8,3 KB gzipped · 6,9 KB brotli untuk stylesheet inti lengkap.
• Tanpa JavaScript — Stylus murni → CSS murni, tanpa biaya runtime.
• Cascade-layered — penimpaan menang tanpa !important.
• Anggaran size-limit ditegakkan di CI pada setiap commit.

Performa adalah kontrol keamanan. Setiap byte yang tidak dikirimkan adalah satu byte yang lebih sedikit untuk diaudit, ditandatangani, dan diverifikasi.

Ringkasan rantai pasokan

---

CycloneDX SBOM

Setiap tarball yang dipublikasikan menyertakan CycloneDX SBOM di dist/sbom.json. Anda dapat memverifikasi paket yang baru diinstal dengan:

pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
  node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"

SBOM dibuat dengan cyclonedx-npm selama alur kerja publikasi.

---

Provenance npm

Artefak yang dipublikasikan ditandatangani menggunakan provenance paket npm.

Anda dapat memverifikasinya setelah instalasi dengan:

npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
  jq '.dist."npm-signature"'

Attestation yang ditandatangani menghubungkan tarball kembali ke run GitHub Actions yang tepat yang memproduksinya.

---

CVE yang diketahui & patch

Data table table

CVE	Keparahan	Status
CVE-2023-44270 (parsing line return postcss)	Sedang	Dipatch di v2.0.0 melalui pnpm.overrides yang memperbarui postcss ke >= 8.4.31

Basis data advisory Snyk dan feed GitHub Security Advisories dipantau secara berkelanjutan; patch keamanan dikirimkan sebagai rilis level patch.

---

Melaporkan kerentanan

Harap jangan membuka isu GitHub publik untuk laporan keamanan. Sebagai gantinya, gunakan kanal privat di:

github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new

Laporan dikonfirmasi dalam 72 jam. Perbaikan dikirimkan dalam 14 hari untuk masalah sedang dan 48 jam untuk masalah kritis.

Kembali ke beranda → · Baca catatan perubahan →