Skeletonic Stylus

Prestanda

• 45,7 KB minifierad · 8,3 KB gzippad · 6,9 KB brotli for det fullstandiga karn-stylesheetet.
• Noll JavaScript — ren Stylus → ren CSS, ingen runtimekostnad.
• Cascade-layered — overskrivningar vinner utan !important.
• size-limit-budget tillampad i CI vid varje commit.

Prestanda ar en sakerhetsatgard. Varje byte som inte levereras ar en farre byte att granska, signera och verifiera.

Leveranskedja i korthet

---

CycloneDX SBOM

Varje publicerad tarball inkluderar en CycloneDX SBOM pa dist/sbom.json. Du kan verifiera ett nyinstallerat paket med:

pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
  node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"

SBOM:en genereras med cyclonedx-npm under publiceringsarbetsfloden.

---

npm-proveniens

Den publicerade artefakten ar signerad med npm-paketproveniens.

Du kan verifiera den efter installation med:

npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
  jq '.dist."npm-signature"'

Den signerade attesteringen lankar tarballen tillbaka till den exakta GitHub Actions-korningen som producerade den.

---

Kanda CVE:er & patchar

Data table table

CVE	Allvarlighetsgrad	Status
CVE-2023-44270 (postcss radreturtolkning)	Mattlig	Patchad i v2.0.0 via pnpm.overrides som uppgraderar postcss till ≥ 8.4.31

Snyks sakerhetsdatabas och GitHub Security Advisories-floden bevakas kontinuerligt; sakerhetspatchar levereras som patchniva-releaser.

---

Rapportera en sarbarhet

Var vanlig och oppna inte ett offentligt GitHub-arende for en sakerhetsrapport. Anvand istallet den privata kanalen pa:

github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new

Rapporter bekraftas inom 72 timmar och en fix levereras inom 14 dagar for mattliga problem, 48 timmar for kritiska.

Tillbaka till startsidan → · Las andringsloggen →