Skeletonic Stylus

Performance

• 45,7 KB minificado · 8,3 KB gzipped · 6,9 KB brotli para a folha de estilos principal completa.
• Zero JavaScript — Stylus puro → CSS puro, sem custo de execucao.
• Cascade-layered — sobrescrita vence sem !important.
• Budget size-limit aplicado no CI em cada commit.

Performance e um controle de seguranca. Cada byte nao enviado e um byte a menos para auditar, assinar e verificar.

Resumo da cadeia de suprimentos

---

CycloneDX SBOM

Cada tarball publicado inclui um CycloneDX SBOM em dist/sbom.json. Voce pode verificar um pacote recem-instalado com:

pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
  node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"

O SBOM e gerado com cyclonedx-npm durante o workflow de publicacao.

---

Procedencia npm

O artefato publicado e assinado utilizando a procedencia de pacotes npm.

Voce pode verifica-lo apos a instalacao com:

npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
  jq '.dist."npm-signature"'

A atestacao assinada vincula o tarball a execucao exata do GitHub Actions que o produziu.

---

CVEs conhecidos & correcoes

Data table table

CVE	Gravidade	Status
CVE-2023-44270 (parsing de retorno de linha do postcss)	Moderada	Corrigido na v2.0.0 via pnpm.overrides atualizando postcss para ≥ 8.4.31

O banco de dados de advisories do Snyk e o feed de GitHub Security Advisories sao monitorados continuamente; patches de seguranca sao entregues como releases de nivel patch.

---

Relatar uma vulnerabilidade

Por favor, nao abra uma issue publica no GitHub para relatar vulnerabilidades. Em vez disso, use o canal privado em:

github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new

Os relatorios sao confirmados em 72 horas. Correcoes sao entregues em 14 dias para problemas moderados e 48 horas para criticos.

Voltar para a pagina inicial → · Ler o registro de alteracoes →