[B! npm] kiririmodeのブックマーク

GitHub Advisory Database now powers npm audit

ProductSecurity GitHub Advisory Database now powers npm auditToday, we’re adding a proxy on top of the GitHub Advisory Database that speaks the `npm audit` protocol. This means that every version of the npm CLI that supports security audits is now talking directly to the GitHub Advisory Database. Supply chain security is one of the most important parts of software development today, and we want to

kiririmode 2023/07/29

npm auditはGitHub Advisory Databaseを見る

npm
security

リンク

CommonJSからES Modulesへの移行する方法。トップダウンかボトムアップか

Secretlint v7でCommonJS からES Modulesへの移行を行いました。 Secretlint v7.0.0をリリースしました。Pure ESMへの書き直しこの記事では、CommonJS(CJS)からES Modules(ESM)への移行を行った経緯と、移行する方法について紹介します。 CJSからESMへの移行は、率直に言えば単調な作業で、メリットが見えにくい作業です。しかし、将来的にCJSよりもESMが主流になることは間違いないので、移行することは必要です。移行の作業は、移行方法が決まれば大部分は機械的な書き換えが可能です。では、実際にどうやって移行したのかを紹介します。 ESMへの移行の影響は依存元へと連鎖する Secretlintのリポジトリはmonorepoになっていて、だいたい40コぐらいのパッケージが含まれています。そしてパッケージ間で依存関係があ

kiririmode 2023/07/15

リンク

npm-scripts を書く時の手癖 - mizdra's blog

かれこれ5年くらい趣味開発でnpm-scripts を書き続けている。長年書き続けているとノウハウが蓄積されてきて、﹁こう書くとスッキリする﹂﹁迷いがなくなる﹂﹁後から拡張したくなった時に、簡単に拡張できる﹂みたいな書き方が身についてきた。自分の型、あるいは手癖のようなものだと思う。せっかくなので、id:mizdra の今のnpm-scripts を書く時の手癖を書き連ねてみる。基本形 { "scripts": { "build": "webpack --mode production", "dev": "webpack-dev-server --mode development", "lint": "eslint .", "test": "jest" } } 一番シンプルなnpm-scripts を書く時のパターン。以下の4つの script を登録している。buil

kiririmode 2023/05/05

リンク

scope | npm Docs

kiririmode 2023/03/19

@から始まるパッケージの仕様、scoped package

npm

リンク

colorsなどのnpmパッケージに悪意あるコードが含まれている問題について

追記: 2022年1月11日 2:29 JSTにDoS脆弱性としてセキュリティアドバイザーが出されて、悪意あるバージョン(1.4.1や1.4.2)はnpmからunpublishされ、npmの最新は安全なバージョンである1.4.0へと変更されました。 Infinite loop causing Denial of Service in colors · GHSA-5rqg-jm4f-cqx7 · GitHub Advisory Database 2022-01-08 に colors というnpmパッケージにDoS攻撃のコードが含まれたバージョンが1.4.44-liberty-2として公開されました。 GitHub: https://github.com/Marak/colors.js npm: https://www.npmjs.com/package/colors 問題についてのIssu

kiririmode 2022/01/10

OSSのリスク

リンク

What is package lock json? Lockfiles for yarn & npm packages | Snyk

What is package-lock.json?In this article, we will discuss both npm's package lock file `package-lock.json` as well as Yarn's `_yarn.lock`. Package lock files serve as a rich manifest of dependencies for projects that specify the exact version of dependencies to be installed, as well as the dependencies of those dependencies, and so on — to encompass the full dependency tree. A package lock file i

kiririmode 2020/02/24

lockfileの扱い方についての詳細。CIではfrozen-lockfileをつかう。Shrinkwrap はtransient dependencyまでロックする

リンク

https://github.com/mysticatea/npm-run-all/blob/master/README.md

kiririmode 2019/02/07

npm script をシリアル、パラレルで起動できる。プロジェクトで教えてもらった。プレースホルダ使えるのオシャレ

node.js
npm

リンク

yarn から npm に出戻ろうとしている話 - freee Developers Hub

こんにちは, 今年の freee の新卒エンジニアで会計freee の開発をしているけむりだま (@_kemuridama) です. この記事は freee Developers Advent Calendar 2018 の 11 日目の記事になります 🎄 今回は freee の中で最も大きなプロダクトである会計freee で使っている JavaScript パッケージマネージャを yarn から npm に出戻ろうとしている話をしていこうと思います. なぜやるのか 🤔 yarn から npm に戻ろうとしている理由は, 下記のブログで説明されている通り, npm がアップデートしていくのに従って yarn と性能が変わらなくなってきたためです. engineering.mixmax.com まず, yarn は並列インストールができるため npm よりパッケージインストールが高速でし

kiririmode 2018/12/12

yarn
npm

リンク

はてなブックマーク

タグ

関連タグで絞り込む (7)

npmに関するkiririmodeのブックマーク (8)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第3週）

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス