Beveiliging & toeleveringsketen

Prestaties

45,7 KB geminificeerd · 8,3 KB gzipped · 6,9 KB brotli voor het volledige kernstylesheet.
Geen JavaScript — pure Stylus → pure CSS, geen runtime-kosten.
Cascade-layered — overschrijvingen winnen zonder !important.
size-limit-budget afgedwongen in CI bij elke commit.

Prestaties zijn een beveiligingsmaatregel. Elke byte die niet wordt verstuurd is een byte minder om te auditen, ondertekenen en verifiëren.

Toeleveringsketen samenvatting

Data table table
Maatregel	v2.0.0-status
CycloneDX SBOM	Gegenereerd bij elke release, opgenomen onder `dist/sbom.json`
npm-herkomst	Ingeschakeld (`--provenance --access public`)
Ondertekende git-tags	SSH-ondertekend door de beheerder
Vastgepinde Dependabot	Wekelijkse updates, automatisch beoordeeld
Groottebudgetten	`size-limit` 8 KB gzipped-plafond, faalt CI bij regressie
Lint	`stylelint` + a11y-controles bij elke push
CodeQL	Ingeschakeld voor `javascript` en configuratiebestanden
CVE-2023-44270	Gepatcht via `pnpm.overrides` die `postcss@7` verwijdert

CycloneDX SBOM

Elk gepubliceerd tarball bevat een CycloneDX SBOM op dist/sbom.json. Je kunt een vers geïnstalleerd pakket verifiëren met:

pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
  node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"

De SBOM wordt gegenereerd met cyclonedx-npm tijdens de publicatieworkflow.

npm-herkomst

Het gepubliceerde artefact wordt ondertekend met behulp van npm-pakketherkomst.

Je kunt het na installatie verifiëren met:

npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
  jq '.dist."npm-signature"'

De ondertekende attestatie koppelt het tarball terug aan de exacte GitHub Actions-run die het heeft geproduceerd.

Bekende CVE's & patches

Data table table
CVE	Ernst	Status
CVE-2023-44270 (postcss regelterugloop-parsing)	Gemiddeld	Gepatcht in v2.0.0 via `pnpm.overrides` die `postcss` upgradet naar ≥ 8.4.31

De Snyk-adviesdatabase en de GitHub Security Advisories-feed worden continu gemonitord; beveiligingspatches worden geleverd als patch-level releases.

Een kwetsbaarheid melden

Open geen openbaar GitHub-issue voor een beveiligingsrapport. Gebruik in plaats daarvan het privékanaal op:

github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new

Meldingen worden binnen 72 uur bevestigd. Een fix wordt geleverd binnen 14 dagen voor gemiddelde problemen, 48 uur voor kritieke problemen.

Terug naar home → · Lees het wijzigingslogboek →