Безопасность и цепочка поставок

Производительность

45,7 КБ минифицированный · 8,3 КБ gzip · 6,9 КБ brotli для полного основного файла стилей.
Без JavaScript — чистый Stylus → чистый CSS, без затрат времени выполнения.
Каскадные слои — переопределения работают без !important.
Бюджет size-limit контролируется в CI при каждом коммите.

Производительность — это элемент безопасности. Каждый не отправленный байт — это один байт меньше для аудита, подписания и проверки.

Краткое резюме по цепочке поставок

Data table table
Контроль	Статус v2.0.0
CycloneDX SBOM	Генерируется при каждом релизе, включён в `dist/sbom.json`
npm-провенанс	Включён (`--provenance --access public`)
Подписанные git-теги	Подписаны SSH-ключом мейнтейнера
Закреплённый Dependabot	Еженедельные обновления, автоматическая проверка
Бюджеты размера	`size-limit` — потолок 8 КБ gzip, при превышении CI падает
Линтинг	`stylelint` + проверки доступности при каждом push
CodeQL	Включён для `javascript` и конфигурационных файлов
CVE-2023-44270	Исправлена через `pnpm.overrides`, обновляющий `postcss@7`

CycloneDX SBOM

Каждый опубликованный архив включает CycloneDX SBOM в dist/sbom.json. Вы можете проверить свежеустановленный пакет:

pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
  node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"

SBOM генерируется с помощью cyclonedx-npm в процессе публикации.

npm-провенанс

Опубликованный артефакт подписан с использованием npm package provenance.

Вы можете проверить его после установки:

npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
  jq '.dist."npm-signature"'

Подписанная аттестация связывает архив с конкретным запуском GitHub Actions, который его создал.

Известные CVE и патчи

Data table table
CVE	Серьёзность	Статус
CVE-2023-44270 (парсинг переноса строки postcss)	Умеренная	Исправлена в v2.0.0 через `pnpm.overrides`, обновляющий `postcss` до ≥ 8.4.31

База данных рекомендаций Snyk и лента GitHub Security Advisories отслеживаются непрерывно; исправления безопасности поставляются как патч-релизы.

Сообщить об уязвимости

Пожалуйста, не открывайте публичный issue на GitHub для отчётов о безопасности. Вместо этого воспользуйтесь приватным каналом:

github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new

Отчёты подтверждаются в течение 72 часов, исправления выпускаются в течение 14 дней для умеренных проблем и 48 часов для критических.

На главную → · Читать журнал изменений →