Npm 安全更新与千星沙箱 | 2025 年第 43 周草梅周报

本文在 草梅友仁的博客 发布和更新，并在多个平台同步发布。如有更新，以博客上的版本为准。您也可以通过文末的 原文链接 查看最新版本。

前言

欢迎来到草梅周报！这是一个由草梅友仁基于 AI 整理的周报，旨在为您提供最新的博客更新、GitHub 动态、个人动态和其他周刊文章推荐等内容。

---

Npm 安全更新

最近收到了 Npm 的邮件，提示我令牌过期了。

这实际上是 Npm 最近的一次安全系统更新，将逐渐弃用之前的经典令牌和 TOTP 2FA。

Npm 这么做的目的就是为了解决 Npm 令牌泄露导致的问题。

长期以来，出于自动化发包的需求，一般都需要用户生成一个 Npm 令牌来供 CI 系统调用。

但也正是这个原因，导致部分开发者（包括我自己）都选择了生成一个长期有效的令牌，来减少 Npm 令牌的更新次数。

不过，这样做也就导致了一旦泄露，由于令牌长期有效，若不及时吊销，将会造成重大影响。

而如果使用短期令牌，又将面临着频繁更新的麻烦。

因此在之前，安全和便捷总是无法两全的。

不过，随着 Npm 这次的安全更新，这个问题将得到解决。

现在，Npm 采取一种叫 受信任发布(Trusted publishing) 的方案，来同时解决安全和便捷这两个问题。

Trusted publishing allows you to publish npm packages directly from your CI/CD workflows using OpenID Connect (OIDC) authentication, eliminating the need for long-lived npm tokens. This feature implements the trusted publishers industry standard specified by the Open Source Security Foundation (OpenSSF), joining a growing ecosystem including PyPI, RubyGems, and other major package registries in offering this security enhancement.

受信任发布允许你使用 OpenID Connect (OIDC) 身份验证直接从你的 CI/CD 工作流程中发布 npm 包，无需使用长寿命的 npm 令牌。此功能实现了 Open Source Security Foundation (OpenSSF) 指定的受信任发布者行业标准，加入了包括 PyPI、RubyGems 和其他主要包注册中心的不断增长的生态系统，提供这种安全增强功能。

不过，目前 Npm 仅支持在 GitHub Actions和 GitLab CI/CD Pipelines 上使用，在自托管运行器上尚不支持，，但计划在未来版本中支持。

有关受信任发布的更多内容请点击该链接查看：trusted publishing (OIDC)

配置可信发布的方法也很简单，先在包的页面找到 "Trusted Publisher" ，然后设置好对应的 CI/CD 配置即可。

例如，push-all-in-one 这个包配置完成就是这样的：

具体的配置表单则是这样：

根据字段提示也很容易进行填写。

随后，在 GitHub 这边，则要在 .github/workflows/release.yml 文件夹下写以下内容：

name: Release
on:
    push:
        branches:
            - master

permissions:
    id-token: write # id-token 的权限是必须的
    packages: write
    contents: write
    issues: write
    pull-requests: write

jobs:
    release:
        name: Release
        runs-on: ubuntu-latest
        timeout-minutes: 10
        steps:
            - uses: actions/checkout@v5
              with:
                  persist-credentials: false
            - name: Setup pnpm
              uses: pnpm/action-setup@v4
              with:
                  version: "latest"
            - name: Setup Node.js environment
              uses: actions/setup-node@v5
              with:
                  node-version: "lts/*"
                  cache: "pnpm"
            - run: pnpm i --frozen-lockfile
            - run: pnpm run lint
            - run: pnpm run build
            - env:
                  GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
                  # NPM_TOKEN: ${{ secrets.NPM_TOKEN }} # 旧的 token 可以直接注释掉
              run: pnpm run release
            # - run: npm publish # 如果没有自定义的 release 命令，可采用手动发布

其中比较关键的配置是需要给 GitHub Action 添加 id-token 权限，否则无法生成 OIDC 令牌。

其次是 npm CLI 的版本需要在 11.5.1 版本或以上。

我个人比较常用的自动化发包软件 semantic-release也在最近更新了对应内容，现在可以直接使用 semantic-release 完成 Npm 包的受信任发布。

以上就是这次 Npm 安全更新带来的一些影响和解决方案，如有帮助，欢迎订阅。

---

千星沙箱和低代码平台

《原神》最近上线了一个新的玩法------千星奇域。

这是个 UGC 玩法，也就是可以让玩家自己创造游戏。

不过作为程序员，我更关心的是开发千星奇域的工具------千星沙箱。

在看到熟悉的流程图的时候，我估计大部分程序员都会反应过来，这不就是个低代码平台吗？只是用了游戏的素材。

确实，从某种意义上讲，千星沙箱还真就是个基于原神的低代码平台，跟之前周报提过的 n8n 很像。

不过，就这段时间的体验而言，千星沙箱还是存在一些不足的。

比如说自定义文本需要创作者 3 级以上。虽然也能理解是出于审核的原因，但这就导致游戏连一点文字提示都没有了，游玩体验会变得极差。

比如这张图，并不是我没有写选项卡的文字，而是我压根没权限展示自定义文本

以及，虽然说千星沙箱是个低代码平台，但上手难度并不低，我可以确信的是，大部分玩家都会在研究千星沙箱的前三十分钟就放弃。

而我本人，虽然有一些编程经验，但也一边看文档，一边自己琢磨+调试，花了几个小时，才初步掌握使用千星沙箱的方法。

有些人可能会说，也就几个小时而已，学习编程或者游戏开发不就是这样的吗？需要投入大量的时间和精力。

但我认为，千星沙箱作为原神 UGC 玩法的核心编辑器，是不能就这么把普通玩家给排除在外的。

说到底，千星奇域是游戏的一个玩法，那么千星沙箱至少也要提供一个能让游戏玩家无缝理解的编辑方式，来实现玩家自己的想法。

之前游戏中有过的《神工天巧》玩法就简单的多，一个萌新也能理解要如何设计关卡

而我之前说花了几个小时研究千星沙箱，仅仅是跑通了一小段逻辑而已，要完整的实现一个游戏关卡，还要继续投入十几个小时。

可以说，哪怕只想实现一个最简单的打怪升级通关，或者跑酷通关，都是一件不容易的事情。

我觉得开发千星沙箱的项目组在一定程度上也陷入了开发者陷阱------那就是没有考虑普通玩家如何使用这些功能。而他们自己因为有相关的知识，则容易上手。

老实说千星沙箱的设计已经是非常完善的了，可以实现非常多的功能，从低代码平台的角度基本上可以打个 7/8 分（虽然还不能自定义函数），单从游戏的角度，可以打 1/2 分，因为太难上手了。

希望制作组接下来可以继续改善，降低使用门槛，让更多的玩家可以体验 UGC 开发。

至于我个人，也会继续使用千星沙箱，尝试还原一些游戏玩法。

不过也不一定会发布，这次也算体会到游戏开发的不易了。

GitHub Release

cmyr-template-cli

v1.41.7 - 2025-10-20 00:52:22

摘要: 版本 1.41.7 (2025-10-19) 摘要：

Bug 修复：

1. 启用了 npm 发布功能并更新了相关工作流配置
2. 添加了 pnpm 配置以覆盖 semantic-release 的依赖版本

本次更新主要解决了 npm 发布和工作流配置相关的问题，同时优化了依赖管理。

最新 GitHub 加星仓库

• CaoMeiYouRen starred DeepSeek-OCR - 2025-10-21 14:54:33 Contexts Optical Compression 是一个 Python 语言项目，在 GitHub 上获得 17302 个星标。
• CaoMeiYouRen starred forward - 2025-10-21 12:33:01 提供消息转发功能 主要语言：TypeScript 星标数：46
• CaoMeiYouRen starred wave-share - 2025-10-20 01:49:33 基于声音的无服务器点对点本地文件共享系统 使用 C++语言开发 GitHub 星标数 2290
• CaoMeiYouRen starred ggwave - 2025-10-20 01:46:43 微型声音数据传输库 主要编程语言：C++ GitHub 星标数：7325

其他博客或周刊推荐

阮一峰的网络日志

• 科技爱好者周刊（第 370 期）：正确的代码高亮 - 2025-10-24 08:18:03
• 错误处理：异常好于状态码 - 2025-10-22 00:28:41

HelloGitHub 热点速览

• DIY ChatGPT 一周狂揽 27k Star「GitHub 热点速览」 - 2025-10-21 10:33:08

阿猫的博客

• 猫鱼周刊 vol. 084 骑友巴士 - 2025-10-26 19:36:26

潮流周刊

• 第 242 期 - 压实此刻 - 2025-10-27 08:00:00

二丫讲梵的学习周刊

• 学习周刊-总第 234 期-2025 年第 43 周 - 2025-10-23 22:04:57

总结

本周的更新和动态如上所示。感谢您的阅读！ 您可以通过以下方式订阅草梅周报的更新：

• 博客 ：草梅友仁的博客
• RSS ：草梅周报
• 公众号 ：草梅友仁的后花园
• 邮箱订阅 ：草梅友仁的博客订阅

往期回顾

• 草梅 Auth 1.10.1 发布与浏览器自动化工具 | 2025 年第 42 周草梅周报 - 2025-10-19 22:13:55
• 草梅 Auth 1.10.0 完善人机验证功能 | 2025 年第 41 周草梅周报 - 2025-10-12 20:29:07
• 草梅 Auth 1.9.0 发布验证码组件 | 2025 年第 40 周草梅周报 - 2025-10-05 22:54:15

本文作者：草梅友仁

本文地址：blog.cmyr.ltd/archives/20...

版权声明：本文采用 CC BY-NC-SA 4.0 协议 进行分发，转载请注明出处！