头条
Axios 供应链攻击事件复盘
Axios 团队分享了近期供应链攻击的详细复盘,攻击者通过恶意依赖注入木马。
文章
你不必参加全部44场 Postgres 演讲
POSETTE: An Event for Postgres 2026 是一场免费虚拟开发者活动,于6月16-18日举行,44场演讲将同步直播并可在事后回看。
Promise 无法取消(但有时可以)
Promise 本身无法取消,但可以让 async 函数 await 一个永不 resolve 的 Promise 来使其静默停止,GC 可正常回收资源。
Node 安全漏洞赏金计划因失去资金暂停
自2016年起 Node.js 项目为安全漏洞报告提供赏金,该项目由 Internet Bug Bounty 计划资助,现因资金中断而暂停。
tsdown 现可生成 Node 应用可执行文件
VoidZero(尤雨溪的公司)开发的库打包工具 tsdown 现已支持使用 Node 的 Single Executable Application 功能构建独立可执行文件。
分析无需独立基础设施
TimescaleDB 扩展 Postgres 使分析可在实时数据上运行,使用相同连接,无需额外管道或第二数据库。
Marked.js 18.0: 快速 Markdown 解析库
为速度而生的底层 Markdown 编译器,支持客户端和服务端。v18 为问题修复版本。
Memetria K/V: 高效 Redis 和 Valkey 托管
Memetria K/V 为 Node.js 应用提供 Redis OSS 和 Valkey 托管服务,支持大 Key 追踪和详细分析。
Axios 供应链攻击的隐藏影响范围
本周 Axios 供应链攻击引发广泛关注,Ahmad 反思了攻击机制和更深层的影响范围。
npm Workspaces 入门指南
通过 workspaces 可在一个仓库中管理多个包,并链接本地包使其可按名称互相导入,npm 会自动提升和去重依赖。
在生产级沙箱中运行 Agent
Ox 为每个 Agent 任务启动独立沙箱,隔离代码、计算和数据,可对生产环境测试且零影响范围。
Node.js 2026年3月24日安全版本发布
Node.js v25.8.2 (Current)、v24.14.1 (LTS)、v22.22.2 (LTS) 和 v20.20.2 (LTS) 发布,修复9个漏洞(其中2个为高危)。
为 V8 开发抗 HashDoS 且可快速还原的整数哈希
哈希能否同时抵御哈希洪水攻击(HashDoS)和快速可逆?这是 Node 团队本周在 V8 中需要解决的难题。
Clerk M2M Token 现支持 JWT 格式实现更快认证
无需网络请求即可本地验证机器间 Token,自包含的 JWT 携带机器 ID、声明和过期时间。
400MB 内存去哪了?
深入调查一个 Node WebSocket k8s Pod 为何比同类消耗更多内存,尽管 process.memoryUsage() 报告的数值正常。
JavaScript 膨胀的三大支柱
node_modules 过大的三个原因:不必要的 ES3 兼容包、只有单一消费者的微库、以及从未被多环境使用的 polyfill。
在 Node.js 中从零构建 AI Agent
涵盖工具调用、Agent 循环、评估、Web 搜索和人工审批流程,由 Netflix 高级开发者 Scott Moss 授课。
为什么 Node.js 需要虚拟文件系统
核心思路:hook node:fs 和模块解析器,使仅存在于内存中的模块可被导入,用于沙箱、单可执行文件等场景。
Node Worker Threads 问题不少,但我们用得很好
实际案例:通过将连接内部逻辑移入 Worker Thread 解决 WebSocket SDK 中的事件循环饥饿问题,同时承认 Worker Threads 的局限性。
Clerk Core 3: 无密钥模式、Satellite 修复、升级 CLI
支持 TanStack Start、Astro 和 React Router 的无密钥模式,Satellite 域名对匿名访客跳过重定向。
Edge.js: 在 WebAssembly 沙箱中运行 Node 应用
全新运行时(目前为 Alpha),通过 WebAssembly 隔离不安全执行,同时保持完整 Node.js 兼容性,现有应用和原生模块可直接运行。
工具
web-audio-api: 在 Node 中使用 Web Audio API
在 Node 中获得完整的 Web Audio API 支持,可播放音频或渲染到文件(Tone.js 也可正常使用),提供大量示例。
Node.js 25.9.0 (Current) 发布
新增 --max-heap-size 选项设置进程最大堆内存,James Snell 的实验性"更好的流 API"实现作为实验特性合入。
node-re2: Google RE2 正则库的 Node 绑定
RE2 是具有线性时间匹配的正则表达式库,可有效抵御回溯导致的 ReDoS 攻击,node-re2 提供了几乎兼容原生 RegExp 的绑定。
Defuddle: 从网页中提取主要内容
去除 HTML 中的杂乱内容,只保留主要正文,提供在线演示。
Knip v6 发布: 快速清理项目冗余
Knip 已成为查找和移除未使用文件、导出和依赖的首选工具。v6 采用 oxc-parser 实现 2-4 倍性能提升。
Vavite 6: 用 Vite 开发服务端应用
在后端 Node.js 代码中也使用 Vite,实现前后端统一工具链,包括前后端热重载。v6 带来多项改进。
htmlparser2 12.0: 快速容错的 HTML/XML 解析器
以回调方式消费文档,也可生成 DOM,提供在线演示,同时支持 Node 和浏览器环境。
TypeScript 6.0 发布
TypeScript 6.0 旨在为从自托管编译器过渡到 Go 驱动的原生编译器(TypeScript 7.0)铺路。
关注微信公众号「右耳朵猫AI」获取更多资讯
