首页
学习
活动
专区
工具
TVP
发布

code秘密花园

专栏成员
581
文章
977385
阅读量
60
订阅数
周百万下载量的 NPM 包可执行任意 JS 代码,数十万网站可能受影响!
最近 Codean Labs 对外披露了 PDF.js 的一个任意代码执行漏洞(CVE-2024-4367)。
ConardLi
2024-07-01
2760
Node.js 技术委员会:不会在发行版本中删除 NPM!
在之前的文章中,我们提到 Node.js 社区在关于默认开启 Corepack 的提案中引发了激烈的争论,也间接引发了大家对是否在 Node.js 版本中移除 NPM 的讨论:
ConardLi
2024-04-03
800
抛弃 NPM ? Node.js 社区正为启用新的包管理方式争论不休!
在 Node.js 社区中,关于默认开启 Corepack 的提议引发了激烈的争论,我在文末也发了个投票想看看大家的想法。
ConardLi
2024-03-02
1880
Npm 的 2023 ,爆炸式增长!
在十年前,我们还可以在一次会议上阅读出每个 npm 包的名称。到 2023 年底,来自将近 90 万维护者的 npm 注册表已经导入了近 400 万个包。
ConardLi
2024-01-23
2330
神器推荐:在浏览器分析 npm 包
今天跟大家推荐一个神器 pkg-size.dev,可以直接在浏览器对 npm 包进行分析(包括占用大小、打包大小、间接依赖项等等)。它的目标是让像我们可以更轻松地探索 npm 生态系统。 对于包的使用者,pkg-size 可以帮助你:
ConardLi
2023-08-23
6220
npm 生态系统存在巨大的安全隐患
最近,曾经在 2019 - 2022 年担任 npm 研发经理的 Darcy Clarke 公开吐槽了 npm 生态系统的安全性,称其一直具有巨大的安全隐患。
ConardLi
2023-08-23
2250
你安装的 NPM 包,居然偷偷做这种事?
大家都知道,在 npm 包安装的前后,我们可以添加一些钩子函数(也就是我们常说的 postinstall、preinstall script),我们可以在这些函数中添加一些预编译之类的操作,来帮助我们在包安装的前后做一些操作。
ConardLi
2023-08-23
4010
Node.js 安全最佳实践
最近 Node.js 团队在官方文档上公布了一份最新的安全实践,解读了一些 Node.js 服务下一些常见的攻击场景以及预防手段,我们一起来看看吧!
ConardLi
2023-01-09
2.2K0
他来了!性能吊打 Node.js 和 Deno 的新一代 javaScript 运行时!
刚开源不到一个月就获得了 19.5k star!看起来马上就会成为 Node.js 和 Deno 的一大竞争对手了!
ConardLi
2023-01-09
8590
node_modules 是该好好治一治了
大家好,我是 ConardLi。 作为前端开发者,大家有没有被 node_modules 困扰过呢? 反正我是有。。。因为 npm 特殊的包管理机制,往往一个很小的项目就会携带一个很大的 node_modules 。相信大家都刷到过下面这张图,这就是对前端依赖最大的讽刺了。😂 📷 有时候,可能不经意间我们就会引入一个意外的依赖包,或者不小心升级了一个有 break chage 的依赖,还有可能在一个项目中安装了多个互相冲突的依赖版本。但是每次遇到这种问题,想要排查问题都要花费大量时间。 比如,我们想查询一个
ConardLi
2023-01-09
5920
炸了... 百万周下载量的 npm 包以反战为名进行供应链投毒!
大家好,我是 ConardLi ,今天前端圈又炸了... 原因居然还是因为一个 npm 包。
ConardLi
2022-04-08
7590
Node.js 可以和 Web 实现 HTTP 请求的跨平台兼容了!
大家好,我是 ConardLi ,今天给大家带来一个令人兴奋的好消息:Node.js 支持 Fetch API 啦!
ConardLi
2022-02-18
1K0
尤大深夜宣布:Vue 3 将成为新的默认版本!
划重点:Vue 3 将在 2022 年 2 月 7 日 成为新的默认版本! 请务必阅读文末的 可能需要采取的措施 部分,来确认你是否需要在默认版本切换之前做相应改动以避免发生异常。
ConardLi
2022-02-18
7420
使用 Rust 编写更快的 React 组件
大家好,我是 ConardLi,上周发了一篇 Wasm 的文章,主要分析的是今年 Google 开发者大会上的 Wasm 主题:
ConardLi
2021-12-02
1.1K0
如何打造一款标准的 JS SDK ?
岳鹰全景监控,是阿里UC官方出品的先进移动应用线上监控平台,为开发者及企业提供一套完整的移动应用线上质量监控解决方案。岳鹰WEB前端监控,可实时监控页面性能、JS异常、资源加载异常、API成功率、自定义错误等异常情况。本文通过岳鹰前端监控SDK的实际案例,介绍如何基于JavaScript来开发SDK,并分享一些设计原则以及实现技巧。
ConardLi
2021-04-07
1.3K0
​Webpack5 让我头疼!
npm 上的大多数软件包主要是使用 Node.js 开发的。但是,由于采用了自动引用 polyfills 功能,它们中的大多数在浏览器中也可以正常使用。问题是 Webpack 通过自动引用 polyfills 为开发者提供便利,现在又突然取消了。好像他们从来没有提供过这个功能,但是开发人员现在还是希望 npm 上的包在绑定后能在浏览器中使用。
ConardLi
2020-11-10
7200
npm v7.0.0 发布 - 带来数个重大更新
很难相信,11年前, JavaScript 社区还没有 npm 。快进到今天,npm 现在拥有数百万的开发人员和 130 万个软件包,每月下载 75B。
ConardLi
2020-10-30
2.3K0
从 Element UI 源码的构建流程来看前端 UI 库设计
由于业务需要,近期团队要搞一套自己的UI组件库,框架方面还是Vue。而业界已经有比较成熟的一些UI库了,比如ElementUI、AntDesign、Vant等。
ConardLi
2020-06-29
2.3K0
node_modules 困境
Ryan 对于 node.js 的十大遗憾之一就是支持了 node_modules,node_modules 的设计虽然能满足大部分的场景,但是其仍然存在着种种缺陷,尤其在前端工程化领域,造成了不少的问题,本文总结下其存在的一些问题,和可能的改进方式。
ConardLi
2020-06-01
1.8K0
前端安全—你必须要注意的依赖安全漏洞
Lodash 是一款非常流行的 npm 库,每月的下载量超过 8000 万次,GitHub 上使用它的项目有超过 400 万。前段时间 Lodash 的一个安全漏洞刷爆了朋友圈,我们先来回忆下这个安全漏洞:
ConardLi
2020-02-13
1.2K0
点击加载更多
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
Python精品学习库
代码在线跑,知识轻松学
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档