パフォーマンス
- フルコアスタイルシートで ミニファイ済み 38.8 KB · gzip圧縮 7.7 KB · brotli 6.7 KB。
- JavaScript ゼロ — 純粋な Stylus → 純粋な CSS、ランタイムコストなし。
- カスケードレイヤー採用 —
!importantなしでオーバーライドが優先されます。 size-limitバジェット がすべてのコミットで CI により強制されます。
パフォーマンスはセキュリティコントロールです。配信しないバイトは、監査、署名、検証が不要なバイトです。
サプライチェーンの要約
| 対策 | v2.0.0 のステータス |
|---|---|
| CycloneDX SBOM | リリースごとに生成、dist/sbom.json にコミット |
| npm プロベナンス | 有効 (--provenance --access public) |
| 署名済み git タグ | メンテナーキーで SSH 署名 |
| 固定された Dependabot | 週次バンプ、自動レビュー |
| サイズバジェット | size-limit gzip圧縮 8 KB 上限、回帰で CI が失敗 |
| リント | stylelint + a11y アサーションを毎プッシュ |
| CodeQL | javascript と設定ファイルに対して有効 |
| CVE-2023-44270 | pnpm.overrides で postcss@7 をフラッシュして パッチ済み |
CycloneDX SBOM
公開されるすべての tarball には dist/sbom.json に CycloneDX SBOM が含まれています。新しくインストールしたパッケージを以下のコマンドで確認できます:
pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"
SBOM は公開ワークフロー中に cyclonedx-npm で生成されます。
npm プロベナンス
公開されたアーティファクトは npm パッケージプロベナンス を使用して署名されています。
インストール後、以下のコマンドで確認できます:
npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
jq '.dist."npm-signature"'
署名された証明は、tarball をそれを生成した正確な GitHub Actions 実行に紐づけます。
既知の CVE とパッチ
| CVE | 深刻度 | ステータス |
|---|---|---|
| CVE-2023-44270 (postcss 改行パーシング) | 中 | pnpm.overrides で postcss を 8.4.31 以上にアップグレードして v2.0.0 で パッチ済み |
Snyk アドバイザリデータベースと GitHub Security Advisories フィードが継続的に監視されています。セキュリティパッチは パッチレベルリリース として配信されます。
脆弱性の報告
セキュリティレポートに関して、公開 GitHub Issue を作成 しないでください。代わりに、以下のプライベートチャネルを使用してください:
github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new
報告は 72時間以内 に確認されます。中程度の問題には 14日以内、重大な問題には 48時間以内 に修正が配信されます。