栗子前端技术周刊第 129 期 - TanStack npm 供应链入侵事件、pnpm 11.1、Tailwind CSS 4.3...

🌰栗子前端技术周刊第 129 期 (2026.05.11 - 2026.05.17):浏览前端一周最新消息,学习国内外优秀文章,让我们保持对前端的好奇心。

📰 技术资讯

  1. TanStack npm 供应链入侵事件 :一种新型 Shai-Hulud 蠕虫将恶意版本的 TanStack 软件包推送至 npm(内含一个警戒触发器,一旦检测到令牌撤销便会删除文件),另有约 170 个其他软件包也受到波及。维护者的凭据并未被盗,攻击者实际通过链式利用 pull_request_target 滥用、缓存投毒以及从 CI 内存中窃取 OIDC 令牌实施了攻击。

  2. pnpm 11.1 :pnpm 11.1 版本更新,内容包括:支持用于访问 GitHub 软件包的全新 gh: 协议前缀;新增 pnpm bugs 命令,可直接在浏览器打开对应项目的问题追踪页面;同时 pnpm audit signatures 命令现已支持依据密钥校验软件包仓库的 ECDSA 数字签名。

  3. Tailwind CSS 4.3:Tailwind CSS 4.3 新增滚动条工具类、缩放工具类以及诸多实用小功能,这些更新离不开广大开发者的社区助力。

  4. Bun v1.3.14 :Bun v1.3.14 版本发布,新增的 Bun.Image 是一个全新的内置图像处理 API,在许多场景下可以替代 Sharp;Bun 的包管理器新增了全局虚拟存储(类似于 pnpm 的实现);Bun.serve 实验性地支持基于 QUIC 的 HTTP/3,fetch 也增加了对 HTTP/2 和 HTTP/3 的支持。此外,还包含大量常规的 Node.js 兼容性改进。

📒 技术文章

  1. 33 JavaScript Concepts:33 个 JavaScript 核心概念 ------ 这一内容最初仅是一篇 Medium 博文,后来发展成热门 GitHub 开源仓库,如今更是升级为完整专题网站,全面讲解各类 JavaScript 知识点,涵盖范围早已超出最初的 33 个概念。

  2. Agent Skills 原理及其在中后台页面中的实践:文中介绍了 Agent Skills 概率、Agent Skills 和 MCP 的区别以及 skill 在中后台页面的实践。

  3. 前端手机号脱敏的 4 个层级,你在第几层?:从"一把梭正则"到"生产级兜底",一个看似简单的脱敏函数,能折射出多少前端工程化思维?

🔧 开发工具

  1. MDXEditor 4.0:一款功能丰富的 Markdown 编辑器组件 ------ 这是一个基于 Lexical 构建、为 React 应用设计的 Markdown 编辑器,具备代码编辑、链接/图片插入以及表格支持等众多功能。
  1. Wakaru:拆解压缩过的 JavaScript 代码包 ------ 只需输入压缩后的打包代码,这款工具就能帮你还原出可读的模块,可用于代码恢复、逆向工程或安全审计。
  1. Cascade:专为 CSS 属性打造的 SVG 与 React 图标库。

🚀🚀🚀 以上资讯文章选自常见周刊,如 JavaScript Weekly 等,周刊内容也会不断优化改进,希望你们能够喜欢。

💖 欢迎关注微信公众号:栗子前端

相关推荐
元气少女小圆丶41 分钟前
unity发布web嵌入到前端页面的接受参数
前端·unity·webgl
工业HMI实战笔记42 分钟前
【拯救HMI】:低碳制造:自动化技术如何助力企业节能降耗
运维·前端·自动化·交互·制造
柒和远方2 小时前
V043:BFF 层流式输出:从前端直连到生产级流式网关的架构演进
javascript·架构·node.js
用户938515635072 小时前
SSE 流式输出的工程化拐点——为什么你需要一个 BFF 层
javascript·人工智能·全栈
不简说2 小时前
JS 代码技巧 vol.4 — 10 个异步并发控制,Promise.all 这帮兄弟的踩坑实录
前端·javascript·面试
Sinclair3 小时前
安企CMS的安装-PHPStudy(小皮面板)部署
前端·后端
会飞的特洛伊3 小时前
IAM身份认证
前端·后端
钛态4 小时前
AI 组件生成评测:别只看页面能不能渲染
前端·vue·react·web
Hyyy4 小时前
requestAnimationFrame和setTimeout有什么不同
前端
Jackson__4 小时前
问到你想清楚,这个 skill 专治没想明白就写代码!
前端·github·ai编程