Performanță
- 45,7 KB minificat · 8,3 KB gzipped · 6,9 KB brotli pentru stylesheet-ul principal complet.
- Zero JavaScript — pur Stylus → pur CSS, fără cost la runtime.
- Cascade-layered — suprascrierea câștigă fără
!important. - Buget
size-limitimpus în CI la fiecare commit.
Performanța este un control de securitate. Fiecare octet nelivrat este un octet mai puțin de auditat, semnat și verificat.
Rezumatul lanțului de aprovizionare
| Control | Stare v2.0.0 |
|---|---|
| CycloneDX SBOM | Generat la fiecare lansare, salvat sub dist/sbom.json |
| Proveniență npm | Activată (--provenance --access public) |
| Tag-uri git semnate | Semnate SSH de cheia maintainer-ului |
| Dependabot fixat | Actualizări săptămânale, auto-revizuite |
| Bugete de dimensiune | size-limit limită 8 KB gzipped, CI eșuează la regresie |
| Lint | stylelint + aserțiuni a11y la fiecare push |
| CodeQL | Activat pentru javascript și fișiere de configurare |
| CVE-2023-44270 | Rezolvat prin pnpm.overrides care elimină postcss@7 |
CycloneDX SBOM
Fiecare tarball publicat include un CycloneDX SBOM la dist/sbom.json.
Poți verifica un pachet proaspăt instalat cu:
pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"
SBOM-ul este generat cu cyclonedx-npm în timpul workflow-ului de publicare.
Proveniență npm
Artefactul publicat este semnat folosind proveniența pachetului npm.
Poți verifica după instalare cu:
npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
jq '.dist."npm-signature"'
Atestarea semnată leagă tarball-ul de execuția exactă a GitHub Actions care l-a produs.
CVE-uri cunoscute & patch-uri
| CVE | Severitate | Stare |
|---|---|---|
| CVE-2023-44270 (parsare linie nouă postcss) | Moderată | Rezolvat în v2.0.0 prin pnpm.overrides care actualizează postcss la ≥ 8.4.31 |
Baza de date a consultanțelor Snyk și feed-ul GitHub Security Advisories sunt monitorizate continuu; patch-urile de securitate sunt livrate ca lansări de nivel patch.
Raportarea unei vulnerabilități
Te rugăm să nu deschizi un issue public pe GitHub pentru un raport de securitate. În schimb, folosește canalul privat la:
github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new
Rapoartele sunt confirmate în 72 de ore. Remedierile sunt livrate în 14 zile pentru probleme moderate și în 48 de ore pentru cele critice.
Înapoi la pagina principală → · Citește jurnalul de modificări →