npm 6.12.0 уже здесь!
Теперь npm ci
запускает сценарии подготовки для зависимостей git и учитывает аргумент --no-optional
. Предупреждения о engine
несоответствиях печатаются снова.
Получите это: `npm i -g npm@latest`
Читайте полные примечания к выпуску здесь.
Полный пакет: все, что вам нужно знать о безопасности npm
Вице-президент npm по безопасности Адам Болдуин поделился своими мыслями с дайджестом веб-безопасности The Daily Swig об улучшении безопасности крупнейшего в мире репозитория пакетов программного обеспечения с открытым исходным кодом (npm!). Ознакомьтесь с полной статьей + смотрите это пространство, чтобы узнать об обновлениях будущих решений безопасности npm.
У нас есть несколько интересных вещей на горизонте, которые помогут с безопасностью цепочки поставок и инструментами, созданными в этом пространстве.
Релизы
Вомбаты были заняты в этом месяце! Вот наши последние выпуски:
- make-fetch-happen
v6.0:
библиотека Node.js, обертывающаяnode-fetch-npm
дополнительными функциями, которыеnode-fetch
не собирается включать, включая поддержку HTTP Cache, объединение запросов, прокси, повторные попытки и многое другое! - npm-registry-fetch
v5.0:
библиотека Node.js, которая реализуетfetch
подобный API для последовательного доступа к API-интерфейсам реестра npm. - pacote
v10:
библиотека Node.js для загрузки npm-совместимых пакетов. Он поддерживает весь синтаксис спецификаторов пакетов, который поддерживаетnpm install
и ему подобные, и прозрачно кэширует все, что необходимо для сокращения избыточных операций, используяcacache
.
Мы с энтузиазмом приветствуем пожертвования и участие в проекте! В соответствующих руководствах для участников есть вся необходимая информация по всем вопросам, от сообщения об ошибках до добавления новых функций: npm-выборка реестра | пакоте.
Новый API Security Insights: краткий обзор
Одна из самых важных вещей для безопасности цепочки поставок — иметь правильную информацию для принятия решений о рисках. Существующие инструменты безопасности в настоящее время сообщают об известных уязвимостях в конце длительного процесса раскрытия информации. Команда безопасности npm стремится улучшить статус-кво, предоставляя информацию о большей части цепочки поставок, а не только о ее конечных продуктах.
Адам Болдуин предоставляет все подробности в нашем блоге. Следите за его будущими сообщениями в блоге, в которых будет подробно рассмотрена целостность пакетов, индикаторы компрометации вредоносного ПО и поведенческий анализ во время выполнения.
Результаты готовы — это выбор 3
Рекомендуемый проект: брон
Ищете простое тестовое решение для небольшого проекта? Попробуйте этот сверхбыстрый и крошечный инструмент для запуска тестов для Node.js, bron, созданный внештатным разработчиком/архитектором Lars Kappert.
Предстоящие События
- Открытое собрание RFC: среда, 16 октября, 10:00–11:00 по тихоокеанскому времени. Вскоре здесь будет создана новая ветка встречи с подробностями и первоначальной повесткой дня.
- FinJS, Нью-Йорк: 22 октября. Не пропустите презентацию технического директора npm Ахмада Насри Современные шаблоны модульных программных архитектур.
- NodeDay: 25 октября в Нью-Йорке. Ахмад тоже будет здесь — зайди и поздоровайся!
- Вы пропустили наш технический доклад ранее на этой неделе о плюсах и минусах работы с полиготным менеджером артефактов? Вы можете просмотреть запись здесь (вместе с записями всех наших прошлых вебинаров).
Нужны частные пакеты и инструменты управления командой?
Попробуйте npm Orgs:
- Публикация и скачивание приватных пакетов
- Управление разрешениями с помощью команд
- Интеграция рабочего процесса и управление токенами
Узнайте, как организации npm могут помочь вашей команде.
Аналитики навалом!
Ищете решение для идентификации посетителей или отслеживания просмотров страниц, пользовательских событий и многого другого? Посмотрите Аналитику Алекса Секстона и Дэвида Уэллса. Разработанный для работы с любыми сторонними аналитическими инструментами и плагинами, этот пакет устраняет сложность, обслуживание и дополнительный код, которые обычно требуются при добавлении или удалении аналитических сервисов на сайте или в приложении, что делает его таким образом, что вы никогда не будете привязаны к инструмент аналитики. Проверьте это!