npm 6.12.0 уже здесь!

Теперь npm ci запускает сценарии подготовки для зависимостей git и учитывает аргумент --no-optional. Предупреждения о engine несоответствиях печатаются снова.

Получите это: `npm i -g npm@latest`
Читайте полные примечания к выпуску здесь.

Полный пакет: все, что вам нужно знать о безопасности npm

Вице-президент npm по безопасности Адам Болдуин поделился своими мыслями с дайджестом веб-безопасности The Daily Swig об улучшении безопасности крупнейшего в мире репозитория пакетов программного обеспечения с открытым исходным кодом (npm!). Ознакомьтесь с полной статьей + смотрите это пространство, чтобы узнать об обновлениях будущих решений безопасности npm.

У нас есть несколько интересных вещей на горизонте, которые помогут с безопасностью цепочки поставок и инструментами, созданными в этом пространстве.

Релизы

Вомбаты были заняты в этом месяце! Вот наши последние выпуски:

  • make-fetch-happen v6.0: библиотека Node.js, обертывающая node-fetch-npm дополнительными функциями, которые node-fetch не собирается включать, включая поддержку HTTP Cache, объединение запросов, прокси, повторные попытки и многое другое!
  • npm-registry-fetchv5.0: библиотека Node.js, которая реализует fetchподобный API для последовательного доступа к API-интерфейсам реестра npm.
  • pacotev10: библиотека Node.js для загрузки npm-совместимых пакетов. Он поддерживает весь синтаксис спецификаторов пакетов, который поддерживает npm install и ему подобные, и прозрачно кэширует все, что необходимо для сокращения избыточных операций, используя cacache.

Мы с энтузиазмом приветствуем пожертвования и участие в проекте! В соответствующих руководствах для участников есть вся необходимая информация по всем вопросам, от сообщения об ошибках до добавления новых функций: npm-выборка реестра | пакоте.

Новый API Security Insights: краткий обзор

Одна из самых важных вещей для безопасности цепочки поставок — иметь правильную информацию для принятия решений о рисках. Существующие инструменты безопасности в настоящее время сообщают об известных уязвимостях в конце длительного процесса раскрытия информации. Команда безопасности npm стремится улучшить статус-кво, предоставляя информацию о большей части цепочки поставок, а не только о ее конечных продуктах.

Адам Болдуин предоставляет все подробности в нашем блоге. Следите за его будущими сообщениями в блоге, в которых будет подробно рассмотрена целостность пакетов, индикаторы компрометации вредоносного ПО и поведенческий анализ во время выполнения.

Результаты готовы — это выбор 3

Рекомендуемый проект: брон

Ищете простое тестовое решение для небольшого проекта? Попробуйте этот сверхбыстрый и крошечный инструмент для запуска тестов для Node.js, bron, созданный внештатным разработчиком/архитектором Lars Kappert.

Предстоящие События

  • Открытое собрание RFC: среда, 16 октября, 10:00–11:00 по тихоокеанскому времени. Вскоре здесь будет создана новая ветка встречи с подробностями и первоначальной повесткой дня.
  • FinJS, Нью-Йорк: 22 октября. Не пропустите презентацию технического директора npm Ахмада Насри Современные шаблоны модульных программных архитектур.
  • NodeDay: 25 октября в Нью-Йорке. Ахмад тоже будет здесь — зайди и поздоровайся!
  • Вы пропустили наш технический доклад ранее на этой неделе о плюсах и минусах работы с полиготным менеджером артефактов? Вы можете просмотреть запись здесь (вместе с записями всех наших прошлых вебинаров).

Нужны частные пакеты и инструменты управления командой?

Попробуйте npm Orgs:

  • Публикация и скачивание приватных пакетов
  • Управление разрешениями с помощью команд
  • Интеграция рабочего процесса и управление токенами

Узнайте, как организации npm могут помочь вашей команде.

Аналитики навалом!

Ищете решение для идентификации посетителей или отслеживания просмотров страниц, пользовательских событий и многого другого? Посмотрите Аналитику Алекса Секстона и Дэвида Уэллса. Разработанный для работы с любыми сторонними аналитическими инструментами и плагинами, этот пакет устраняет сложность, обслуживание и дополнительный код, которые обычно требуются при добавлении или удалении аналитических сервисов на сайте или в приложении, что делает его таким образом, что вы никогда не будете привязаны к инструмент аналитики. Проверьте это!