🌰栗子前端技术周刊第 129 期 (2026.05.11 - 2026.05.17):浏览前端一周最新消息,学习国内外优秀文章,让我们保持对前端的好奇心。
📰 技术资讯
-
TanStack npm 供应链入侵事件 :一种新型 Shai-Hulud 蠕虫将恶意版本的 TanStack 软件包推送至 npm(内含一个警戒触发器,一旦检测到令牌撤销便会删除文件),另有约 170 个其他软件包也受到波及。维护者的凭据并未被盗,攻击者实际通过链式利用
pull_request_target滥用、缓存投毒以及从 CI 内存中窃取 OIDC 令牌实施了攻击。 -
pnpm 11.1 :pnpm 11.1 版本更新,内容包括:支持用于访问 GitHub 软件包的全新
gh:协议前缀;新增pnpm bugs命令,可直接在浏览器打开对应项目的问题追踪页面;同时pnpm audit signatures命令现已支持依据密钥校验软件包仓库的 ECDSA 数字签名。 -
Tailwind CSS 4.3:Tailwind CSS 4.3 新增滚动条工具类、缩放工具类以及诸多实用小功能,这些更新离不开广大开发者的社区助力。
-
Bun v1.3.14 :Bun v1.3.14 版本发布,新增的
Bun.Image是一个全新的内置图像处理 API,在许多场景下可以替代 Sharp;Bun 的包管理器新增了全局虚拟存储(类似于 pnpm 的实现);Bun.serve 实验性地支持基于 QUIC 的 HTTP/3,fetch 也增加了对 HTTP/2 和 HTTP/3 的支持。此外,还包含大量常规的 Node.js 兼容性改进。
📒 技术文章
-
33 JavaScript Concepts:33 个 JavaScript 核心概念 ------ 这一内容最初仅是一篇 Medium 博文,后来发展成热门 GitHub 开源仓库,如今更是升级为完整专题网站,全面讲解各类 JavaScript 知识点,涵盖范围早已超出最初的 33 个概念。
-
Agent Skills 原理及其在中后台页面中的实践:文中介绍了 Agent Skills 概率、Agent Skills 和 MCP 的区别以及 skill 在中后台页面的实践。
-
前端手机号脱敏的 4 个层级,你在第几层?:从"一把梭正则"到"生产级兜底",一个看似简单的脱敏函数,能折射出多少前端工程化思维?
🔧 开发工具
- MDXEditor 4.0:一款功能丰富的 Markdown 编辑器组件 ------ 这是一个基于 Lexical 构建、为 React 应用设计的 Markdown 编辑器,具备代码编辑、链接/图片插入以及表格支持等众多功能。
- Wakaru:拆解压缩过的 JavaScript 代码包 ------ 只需输入压缩后的打包代码,这款工具就能帮你还原出可读的模块,可用于代码恢复、逆向工程或安全审计。
- Cascade:专为 CSS 属性打造的 SVG 与 React 图标库。
🚀🚀🚀 以上资讯文章选自常见周刊,如 JavaScript Weekly 等,周刊内容也会不断优化改进,希望你们能够喜欢。
💖 欢迎关注微信公众号:栗子前端