Безпека та ланцюг постачання

Продуктивність

45,7 КБ мініфіковано · 8,3 КБ gzip · 6,9 КБ brotli для повної основної таблиці стилів.
Нуль JavaScript — чистий Stylus → чистий CSS, нульова вартість в рантаймі.
Каскадні шари — перевизначення перемагають без !important.
Бюджет size-limit контролюється в CI при кожному коміті.

Продуктивність — це елемент безпеки. Кожен невідправлений байт — це на один байт менше для аудиту, підпису та верифікації.

Ланцюг постачання: коротко

Data table table
Контроль	Статус у v2.0.0
CycloneDX SBOM	Генерується при кожному релізі, фіксується у `dist/sbom.json`
npm provenance	Увімкнено (`--provenance --access public`)
Підписані git-теги	SSH-підпис ключем мейнтейнера
Закріплений Dependabot	Щотижневі оновлення, автоматична перевірка
Бюджети розміру	`size-limit` — обмеження 8 КБ gzip, ламає CI при регресії
Лінтинг	`stylelint` + a11y-перевірки при кожному push
CodeQL	Увімкнено для `javascript` та конфігураційних файлів
CVE-2023-44270	Виправлено через `pnpm.overrides`, що оновлює `postcss@7`

CycloneDX SBOM

Кожен опублікований архів включає CycloneDX SBOM у dist/sbom.json. Ви можете перевірити щойно встановлений пакет за допомогою:

pnpm add @sebastienrousseau/skeletonic-stylus@2.0.0
jq '.metadata.component.version' \
  node_modules/@sebastienrousseau/skeletonic-stylus/dist/sbom.json
# → "2.0.0"

SBOM генерується за допомогою cyclonedx-npm під час робочого процесу публікації.

npm provenance

Опублікований артефакт підписано за допомогою npm package provenance.

Ви можете перевірити це після встановлення:

npm view @sebastienrousseau/skeletonic-stylus@2.0.0 --json | \
  jq '.dist."npm-signature"'

Підписана атестація пов'язує архів з конкретним запуском GitHub Actions, що його створив.

Відомі CVE та виправлення

Data table table
CVE	Серйозність	Статус
CVE-2023-44270 (postcss — парсинг переносу рядка)	Помірна	Виправлено у v2.0.0 через `pnpm.overrides`, що оновлює `postcss` до ≥ 8.4.31

База рекомендацій Snyk та стрічка GitHub Security Advisories моніторяться безперервно; виправлення безпеки виходять як патч-релізи.

Повідомлення про вразливість

Будь ласка, не створюйте публічний issue на GitHub для звіту про безпеку. Натомість скористайтесь приватним каналом:

github.com/sebastienrousseau/skeletonic-stylus/security/advisories/new

Звіти підтверджуються протягом 72 годин, виправлення випускаються протягом 14 днів для помірних проблем та 48 годин для критичних.

Повернутися на головну → · Переглянути журнал змін →