腾讯网

npm和yarn包管理器存在安全漏洞可绕过防护

这一警告来自Koi Security的Oren Yomtov,他在周一的博客中披露了在多个包管理器中发现的六个零日漏洞,这些漏洞可能允许黑客绕过去年11月Shai-Hulud攻击npm并破坏超过700个包后推荐的防护措施。

50万行代码不敢交给AI?TypeScript之父直言:它就像是个“高级复读机”

如今,TypeScript 已跻身主流编程语言之列,但另一方面,微软将其编译器从自身语言迁移至 Go 的举动,也在无形中承认了它在性能层面的物理上限。正如 RedMonk 分析师 Stephen O’Grady 去年的疑问: ...
腾讯网

GitHub热榜的泡沫:当AI框架遍地开花时,我们该看到什么

有意思的是,讨论中出现了一个关于Claude ...
InfoQ中国 on MSN

Rust 重写代码格式化器,Oxfmt 宣称比 Prettier 快 30 倍,前端工具链要 ...

VoidZero 近日宣布推出 Oxfmt 的 Alpha 版本。这是一款基于 Rust 实现的代码格式化工具,面向 JavaScript 与 TypeScript 项目,目标是在大幅提升性能的同时,保持与 Prettier 输出结果的高度一致。作为 VoidZero 更大规模 Oxc 工具链计划的一部分,Oxfmt 在官方测试中展现出比 Prettier ...
InfoQ中国 on MSN

就差两个字符! 亚马逊云科技自家 GitHub 仓库险被攻破,供应链安全亮 ...

亚马逊云科技近日发布了一则安全公告,确认其部分由亚马逊云科技管理的热门开源 GitHub 仓库存在配置问题。该高危漏洞被命名为 CodeBreach,可能导致恶意代码被引入仓库,甚至使依赖 AWS CodeBuild 的仓库遭到接管。 Wiz ...
至顶网

包管理器

以色列研究员发现npm和yarn平台存在六个零日漏洞,攻击者可绕过去年11月Shai-Hulud蠕虫攻击后推荐的防御措施。这些名为PackageGate的漏洞能够绕过禁用生命周期脚本和锁文件完整性检查两项关键防护。目前pnpm、vlt和Bun平台已修复相关漏洞,但npm和yarn尚未处理。研究员建议JavaScript开发者转向已修复漏洞的平台,并保持包管理器及时更新。