Snyk的安全研究员在NPM上部署了针对Cursor.com的恶意软件包。这一事件表明，恶意行为者正利用NPM平台作为分发恶意代码的渠道。Cursor.com是一个专注于JavaScript和Node.js开发者的服务，因此成为了攻击目标。攻击者...

llm-ui是一个React库，用于大型语言模型，允许开发人员向输出添加自定义组件。该库可以通过npm安装并导入到React项目中，使得开发人员可以使用自己的组件来定制模型的输出。llm-ui还提供了一些默认的组件来展示模型...

JavaScript注册表（JSR）是一个针对TypeScript进行优化的包注册表，仅支持ES模块 - 它适用于Deno和基于npm的项目。相较于npm，JSR有较好的安全性和可靠性。开发者可以使用JSR来安装和管理TypeScript包，同时也能使用...

JSR是Deno团队开发的新的包注册表。它与npm有几个重要的技术分歧。JSR专门为Deno构建，其内容受到控制，以防止滥用命名空间的滥竽充数和废弃模块。目前，访问JSR仍然受到等待列表的限制。

Node.js社区就默认启用Corepack并潜在地取消捆绑npm的辩论越来越激烈。Corepack允许开发人员在不安装npm、Yam和pnpm的情况下使用它们，这可能最终导致Node.js和npm发布的分离。在社区内，一些人认为这是一个值得考虑...

随着JavaScript项目的增长，软件开发人员越来越需要在项目中使用各种不同的JavaScript包。但是，由于这些包的数量庞大，这些软件包在下载和安装时会占用大量的时间和磁盘空间。为了解决这个问题，一个名为'Pika'的项...

Bun是一个全能工具包，可用于运行、构建和调试JavaScript和TypeScript。现在推出了1.0版本。Bun是Node.js的替代品，具有esbuild兼容的插件API的JavaScript打包器。它还可以作为npm兼容的包管理器和Jest兼容的测试运...

以下是本次新闻发布的三个核心要点： - 开发者可以在GitHub Actions上构建npm项目时，使用--provenance标志发布provenance，以确保软件供应链的完整性。 - --provenance标志可以让消费者验证软件包与其源代码库以及...