Рахид Аллам, исследователь уязвимости, недавно объединившись с Ясиром Алламом, известным под псевдонимом Inzo_, и выбрал Next.js в качестве цели для исследования уязвимости по безопасности. И, конечно же, они нашли критический недостаток в фронтальной структуре.
«Прошло много времени, прежде чем мы обнаружили большое открытие в промежуточном программном обеспечении», — написал Рахид. «Воздействие значительно, при этом все версии затронуты, и никаких предварительных условий для эксплуатации — как мы демонстрируем в ближайшее время».
Уязвимость связана с тем, что промежуточное программное обеспечение используется для авторизации, что является обычным явлением.
Он проходит по уязвимости, а также предлагает патчи для недавних выпусков.
Рахид добавляет, что, хотя команда Vercel уязвила уязвимость, уязвимая уязвимость, как только они узнали об этом, «исправление было совершено, объединено и внедрено в новом выпуске в течение нескольких часов (включая обратные запасы)».
Новое предложение CSS меняет линии сепаратора
Microsoft представляет новое предложение о линии сепаратора рисования с CSS.
Предложение CSS GAP было введено в недавнем сообщении в блоге его автором Кевином Баббиттом, главным инженером программного обеспечения, и Патриком Броссетом, старшим руководителем программы в Microsoft Edge. В сообщении подробно описываются различные существующие обходные пути.
«Использование пограничного свойства CSS — очень распространенный способ рисовать сепараторы», — написала пара. «Тем не менее, он также поставляется с ограничениями, и, с сегодняшними методами макета CSS, таких как CSS GRID и Flexbox, использование границ часто может быть на пути более простого кода».
В произведении указывается, что разработчики уже могут использовать свойство CSS-колонн-правила (и соответствующие свойства столбца-правила-* Longhand) для рисования линий между столбцами в многоцелевой компоновке.
Предложение о декорациях CSS GAP будет:
- Расширить свойство, чтобы применить другие типы макета, такие как сетка и Flexbox.
- Представьте свойство строки в соответствии с правилом столбца.
- Разверните синтаксис этих свойств, чтобы обеспечить различные украшения зазоров в разных частях контейнера.
В сообщении приведены примеры того, как будет выглядеть код и как он может изменить сетки.
Изображение из блога Microsoft’s Edge.
«Предложение также позволяет тонкой настройке разрывов с использованием дополнительных свойств»,-говорится они. «Управление свойствами *-rule-Break и *-rule-Outset, где декорации зазора начинаются и заканчиваются по сравнению с предметами в контейнере, включая охватывающие элементы».
Таким образом, разработчики могут сделать «декорации пробелов, как можно дальше вдоль центральной линии данного разрыва, или остановиться на пересечениях, и даже точно настроить, какое смещение вы хотите между украшением и пересечением, и, в каком, который даже работает, когда существуют предметы сетки».
Запуск формы Tanstack
Каким -то образом мы не упоминали об этом ранее, но Tanstack, новая структура веб -разработчика, продолжает расти интересными способами. Совсем недавно, в этом месяце он выпустил форму Tanstack, безголостную, исполнительную и безопасную типовую форму управления состоянием для Tanstack, JavaScript, React, Vue, Angular, Solid и Lit.
Согласно сообщению в блоге, объявляющем в блоге, в форме Tanstack Form есть крошечный след, нулевые зависимости, а также API-интерфейсы, защищенные от Agnostic Core Agnostic, и API, безопасные для гранулированных типов. Планы включают в себя добавление адаптера 5, постоянных групп API и форм.
Node.js официально падает corepack
Технический руководящий комитет Node.js проголосовал за прекращение распространения CorePack, инструмента, который упростил управляющие менеджеры пакетов Node.js, с будущими версиями node.js.
CorePack останется доступным в node.js 24 и ранее в качестве экспериментальной функции.
«Дискуссия об удалении CorePack продолжалась в течение многих лет», — сообщила Сара Гудинг, глава контент -маркетинга Socket, сообщила в блоге компании. «В ноябре 2023 года было сделано предложение о включении CorePack по умолчанию, вызывая дебаты в сообществе Node.js».
Обеспокоенность заключалась в том, что CorePack можно использовать как способ отделить NPM от выпусков Node.js. К марту, добавляет она, Руководящий комитет заявил, что не было планов по удалению NPM из распределения Node.js.
Делегированные TSC, связанные с CorePack, решают рабочую группу по обслуживанию пакета (PMWG), в которой изложена дорожная карта для его удаления.
«Удаление CorePack знаменует собой сдвиг в сторону дистрибуции более тонкого узла. «Этот шаг согласуется с тенденциями в других экосистемах, где время забега сосредоточена на основных функциональных возможностях, в то время как менеджеры пакетов работают независимо».
Для разработчиков она рекомендовала подготовиться к его удалению, гарантируя, что их рабочие процессы не зависят от того, что он будет предварительно установлен в будущих выпусках Node.js.
Google переключает разработку Android OS на частные
Android Authority сообщает, что после 16 лет разработки с открытым исходным кодом Google теперь разработает ОС Android в частном порядке, хотя также заявила, что все еще стремится выпустить исходный код.
Android Open Source Project (ASOP) был выпущен Google по лицензии Apache 2.0. Проект принял взносы сторонних разработчиков.
«Тем не менее, Google проводит большую часть самой разработки AOSP, поскольку он« рассматривает проект Android как полномасштабную операцию по разработке продукта », чтобы« обеспечить жизнеспособность Android как платформу и как проект с открытым исходным кодом »,-отметилась статья в среду. «Поэтому Google имеет окончательное слово о том, какой код можно объединить в AOSP и когда выпущен исходный код новой версии».
В рамках решения о разработке кода в частном порядке, Google также больше не будет иметь двух основных филиалов. История подробно описывает проблемы, которые этот подход создал для Google и проекта.
Новые инструменты уменьшают повторные ресурсы
React-Scan был создан Эйденом Бай для демонстрации повторных ресурсов в React. Он использовал его, чтобы показать проблемы с производительностью с такими крупными сайтами, как Twitter и Github, согласно Svelte Full Stack Programmer и YouTuber Станиславу Хромову.
В Svelte это более сложное преступление из-за того, как стройные функции, но все еще возможно создавать проблемы повторного рендеринга, сказал Хромов в видео.
Затем Хромов столкнулся с Render-Scan, проектом Nullvoxpopuli, который будет показывать разработчиков в любой структуре, когда что-то в обновлениях DOM и какое обновление произошло. Это вдохновило Хромова создать аналогичное предложение для Svelte. Сканирование рендеринга Svelte позволяет наблюдать за обновлением ваших компонентов в режиме реального времени, что делает его «идеальным для отладки реакционной способности и проблем с производительностью», отмечает сайт.
В видео он объясняет, как повторные рестораны вредны для производительности, а также как инструмент решает эту проблему.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Loraine Lawson — ветеран -репортер, который в течение 25 лет освещал технологические проблемы от интеграции данных до безопасности. Прежде чем присоединиться к новому стеку, она работала редактором Banking Technology Site Bank Automation News. Она … читайте больше от Лорейн Лоусон
