Skeletonic Stylus

Prestazioni

• 45,7 KB minificati · 8,3 KB gzipped · 6,9 KB brotli per il foglio di stile principale completo.
• Zero JavaScript — puro Stylus → puro CSS, nessun costo a runtime.
• Cascade-layered — le sovrascritture vincono senza !important.
• Budget size-limit imposto nella CI ad ogni commit.

Le prestazioni sono un controllo di sicurezza. Ogni byte non distribuito e un byte in meno da verificare, firmare e controllare.

Supply chain in sintesi

---

CycloneDX SBOM

Ogni archivio pubblicato include un SBOM CycloneDX in dist/sbom.json. Puoi verificare un pacchetto appena installato con:

pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
  node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"

Il SBOM viene generato con cyclonedx-npm durante il workflow di pubblicazione.

---

Provenienza npm

L'artefatto pubblicato e firmato utilizzando la provenienza dei pacchetti npm.

Puoi verificarlo dopo l'installazione con:

npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
  jq '.dist."npm-signature"'

L'attestazione firmata collega l'archivio all'esatta esecuzione di GitHub Actions che lo ha prodotto.

---

CVE note & patch

Data table table

CVE	Gravita	Stato
CVE-2023-44270 (parsing line return di postcss)	Moderata	Corretta nella v2.0.0 tramite pnpm.overrides che aggiorna postcss a ≥ 8.4.31

Il database di advisory Snyk e il feed GitHub Security Advisories vengono monitorati costantemente; le patch di sicurezza vengono distribuite come rilasci patch.

---

Segnalare una vulnerabilita

Per favore non aprire una issue pubblica su GitHub per una segnalazione di sicurezza. Utilizza invece il canale privato:

github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new

Le segnalazioni vengono confermate entro 72 ore. Le correzioni vengono rilasciate entro 14 giorni per problemi moderati, 48 ore per quelli critici.

Torna alla home → · Leggi il registro modifiche →