Axios 供应链攻击引发广泛关注;Node.js 多版本安全更新发布,安全赏金计划却因断资暂停;Temporal API 达 Stage 4 后 Node 推进默认启用;TypeScript 6.0 发布,迈向 Go 原生编译器。
🔥 头条
Node 默认启用 Temporal
Temporal API 旨在现代化 JavaScript 的日期/时间处理,上月达到 Stage 4。Node 此前等待 V8 默认启用该特性,现已开始推进。
📖 文章
一站式 Node 应用监控
AppSignal 可处理 Node.js 技术栈的错误、性能、日志、运行时间和主机指标,自动插桩 Express、Koa、Prisma 和 BullMQ。
OWASP NPM 安全速查表
一份持续更新的实用安全检查清单,近期更新涵盖禁用生命周期脚本、typosquatting 防护等内容。
嵌套 Promise 的用途
James 重新审视 2013 年 Promises/A+ 单子辩论,因遇到一个真实并发问题而改变了看法。有深度但值得读。
让 Postgres 承担分析任务
TimescaleDB 添加了超表、95% 压缩率和连续聚合功能,无需第二数据库或数据管道。免费试用。
POSETTE Postgres 线上大会
POSETTE: An Event for Postgres 2026 是一场免费虚拟开发者活动,6 月 16-18 日举行,44 场演讲将直播并提供回放。
Promise 的"取消"之道
Promise 无法取消,但可通过让 async 函数 await 一个永不 resolve 的 Promise 来中止执行,函数会静默停止并被 GC 回收。
Node 安全赏金计划暂停
自 2016 年以来 Node.js 项目为合格安全漏洞报告提供赏金,资金来自 Internet Bug Bounty 项目,现已因失去资助而暂停。
tsdown 支持生成可执行文件
VoidZero(尤雨溪的公司)的库打包工具 tsdown 现支持使用 Node 的 Single Executable Applications 功能构建独立可执行文件。
分析无需独立基础设施
TimescaleDB 扩展 Postgres 使分析可直接运行在实时数据上,相同连接、无需管道、无需第二数据库。免费开始。
Marked.js 18.0 快速 Markdown 解析
为速度而生的底层 Markdown 编译器,同时支持客户端和服务端。v18 为错误修复版本。
Memetria K/V: Redis 托管服务
Memetria K/V 为 Node.js 应用提供 Redis OSS 和 Valkey 托管,支持大键追踪和详细分析。
Axios 事件隐性影响范围
你可能已听说 Axios 供应链攻击(若未了解请检查是否受影响)。Ahmad 反思了攻击机制和更广泛的影响。
npm Workspaces 入门指南
使用 workspaces 可在一个仓库中管理多个包,本地包按名称互相导入,npm 可提升和去重依赖。
沙箱中运行 AI Agent
Ox 为每个 Agent 任务创建独立沙箱,隔离代码、计算和数据,可对生产环境进行零风险测试。
Node.js 3月安全更新发布
Node.js v25.8.2 (Current)、v24.14.1 (LTS)、v22.22.2 (LTS) 和 v20.20.2 (LTS) 发布,修复 9 个漏洞(其中 2 个高危)。
V8 抗 HashDoS 可逆哈希设计
哈希能否同时抗哈希洪泛攻击(HashDoS)又快速可逆?这是 Node 团队在本周安全更新中为 V8 解决的难题。
Clerk M2M 令牌支持 JWT
无需网络请求即可本地验证机器对机器令牌,自包含 JWT 携带机器 ID、声明和过期时间。
400MB 内存去哪了?
深入排查一个 Node WebSocket k8s Pod 为何比同类 Pod 消耗更多内存,尽管 process.memoryUsage() 显示正常。
JavaScript 臃肿三大根源
node_modules 过大的三个原因:不必要的 ES3 兼容包、只有单一消费者的微型库、已有原生 API 的 ponyfill。
🛠 工具
Node.js 24.15.0 LTS 发布
Node LTS 版本从 v25 移植了若干特性,包括 require(esm) 和模块编译缓存标记为稳定,以及 --max-heap-size 选项。
x-win: 检查系统窗口信息
获取 macOS、Linux 和 Windows 上打开窗口的位置、大小、应用图标和标题,以及其底层进程信息和内存使用情况。
Axios 供应链攻击复盘
Axios 团队分享了近期供应链攻击的详细复盘,攻击者通过恶意依赖注入了木马。
web-audio-api: Node 中用 Web Audio
在 Node 中获得完整 Web Audio API 支持,可在本机播放音频或渲染为文件(Tone.js 也可用),提供丰富示例。
Node.js 25.9.0 Current 发布
包含 --max-heap-size 选项设置进程最大堆内存,James Snell 的实验性"更好流 API"实现作为实验特性落地。
node-re2: RE2 正则库绑定
RE2 是线性时间匹配的正则表达式库,免疫回溯导致的 ReDoS 攻击。node-re2 提供近乎完整的 RegExp 替代。
Defuddle: 提取网页正文
去除 HTML 杂乱内容,只保留主要正文。提供在线演示。
Knip v6: 快速清理项目冗余
Knip 已成为查找和移除未使用文件、导出和依赖的首选工具。v6 采用 oxc-parser 实现 2-4 倍性能提升。
Vavite 6: Vite 全栈开发
使用 Vite 开发后端 Node.js 代码,获得前后端统一的工具链和热重载。v6 带来多项改进。
htmlparser2 12.0 解析器发布
消费文档并调用回调,也可生成 DOM。提供在线演示,同时支持 Node 和浏览器。
TypeScript 6.0 发布
TypeScript 6.0 旨在为从自托管编译器过渡到 Go 驱动的原生编译器(TypeScript 7.0)铺平道路。
关注微信公众号「右耳朵猫AI」获取更多资讯