Мы уже писали про инициативу jsr.io, продвигаемую
Бывший создатель
Нам очень важны платформы и инструменты для разработчиков, поэтому мы так много времени уделяем этому направлению. Однако экосистема управления пакетами стагнирует, и это открывает широкие возможности для инноваций. Наша миссия всегда заключалась в улучшении опыта разработчиков, и мы рады снова работать вместе над этим.
Заявленные проблемы
- манифест пакета npm публикуется независимо от его тарбола
- манифесты никогда полностью не проверяются на соответствие содержимому тарбола
- в экосистеме принято считать, что содержимое манифеста и тарбола совпадает
- любые инструменты или идеи, использующие публичный реестр, восприимчивы к эксплоитам/возможно неточны
- злоумышленники могут скрывать вредоносное ПО и скрипты в прямых или транзитивных зависимостях, которые остаются незамеченными
Выпустили пока только общее коммюнике, никакой конкретики, ходя идее уже почти год
Примечательно, что Evan You в
#jsr #evanyou #vlt
Deno, создатель которого Ryan Dahl был также создателем Node.jsБывший создатель
NPM, разработчик Node.js, а также CEO компании npm Inc. Darcy Clarke и другие известные люди начали еще одну похожую инициативу - vlt, который называют новым домом для open source:Нам очень важны платформы и инструменты для разработчиков, поэтому мы так много времени уделяем этому направлению. Однако экосистема управления пакетами стагнирует, и это открывает широкие возможности для инноваций. Наша миссия всегда заключалась в улучшении опыта разработчиков, и мы рады снова работать вместе над этим.
Заявленные проблемы
NPM:- манифест пакета npm публикуется независимо от его тарбола
- манифесты никогда полностью не проверяются на соответствие содержимому тарбола
- в экосистеме принято считать, что содержимое манифеста и тарбола совпадает
- любые инструменты или идеи, использующие публичный реестр, восприимчивы к эксплоитам/возможно неточны
- злоумышленники могут скрывать вредоносное ПО и скрипты в прямых или транзитивных зависимостях, которые остаются незамеченными
Выпустили пока только общее коммюнике, никакой конкретики, ходя идее уже почти год
Примечательно, что Evan You в
vlt выступает в качестве инвестора#jsr #evanyou #vlt
Telegram
Vue-FAQ
Deno запустило в open-source 5 дней назад и продвигает свой реестр для JavaScript и TypeScript пакетов - jsr.io
Основные отличия:
- Суперсет для npm
- Поддержка Node, Bun, Deno, Cloudflare Workers и других сред выполнения js
- Автоматическое создание документации…
Основные отличия:
- Суперсет для npm
- Поддержка Node, Bun, Deno, Cloudflare Workers и других сред выполнения js
- Автоматическое создание документации…