Guvenlik ve tedarik zinciri

Performans

45,7 KB kucultulmus · 8,3 KB gzipped · 6,9 KB brotli tam cekirdek stil sayfasi icin.
Sifir JavaScript — saf Stylus → saf CSS, calisma zamani maliyeti yok.
Cascade-layered — gecersiz kilmalar !important olmadan kazanir.
size-limit butcesi her commit'te CI'da zorunlu kilinir.

Performans bir guvenlik kontroludur. Gonderilmeyen her bayt, denetlenmesi, imzalanmasi ve dogrulanmasi gereken bir bayt azdir.

Tedarik zinciri ozeti

Data table table
Kontrol	v2.0.0 durumu
CycloneDX SBOM	Her surumde olusturulur, `dist/sbom.json` altinda commit edilir
npm provenance	Etkin (`--provenance --access public`)
Imzali git etiketleri	Bakimci anahtariyla SSH-imzali
Sabitlenmis Dependabot	Haftalik guncellemeler, otomatik incelenmis
Boyut butceleri	`size-limit` 8 KB gzipped tavani, gerileme durumunda CI basarisiz
Lint	`stylelint` + her push'ta erisilebilirlik kontrolleri
CodeQL	`javascript` ve yapilandirma dosyalari icin etkin
CVE-2023-44270	Yamali — `pnpm.overrides` ile `postcss@7` yukseltildi

CycloneDX SBOM

Yayinlanan her tarball, dist/sbom.json konumunda bir CycloneDX SBOM icerir. Yeni kurulan bir paketi soyle dogrulayabilirsiniz:

pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
  node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"

SBOM, yayinlama is akisi sirasinda cyclonedx-npm ile olusturulur.

npm provenance

Yayinlanan urun, npm paket provenance kullanilarak imzalanir.

Kurulumdan sonra soyle dogrulayabilirsiniz:

npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
  jq '.dist."npm-signature"'

Imzali onay, tarball'i onu ureten GitHub Actions calistirmasina geri baglar.

Bilinen CVE'ler ve yamalar

Data table table
CVE	Siddet	Durum
CVE-2023-44270 (postcss satir donus ayrisitrma)	Orta	Yamali — v2.0.0'de `pnpm.overrides` ile `postcss` ≥ 8.4.31'e yukseltildi

Snyk danisma veritabani ve GitHub Guvenlik Danisman beslemesi surekli izlenmektedir; guvenlik yamalari yama duzeyinde surumler olarak gonderilir.

Bir acik bildirme

Guvenlik raporu icin lutfen genel bir GitHub sorunu acmayin. Bunun yerine ozel kanali kullanin:

github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new

Raporlar 72 saat icinde kabul edilir ve orta duzey sorunlar icin 14 gun, kritik olanlar icin 48 saat icinde duzeltme gonderilir.

Ana sayfaya don → · Degisiklik gunlugunu okuyun →