Un proxy npm très facile à mettre en place, pour toujours avoir une copie de vos dépendances, au cas où l'auteur déciderait de tout supprimer par exemple.
Tour d'horizon des workspaces npm.
Quelques réflexions sur les risques inhérents à l'utilisation de packages managers tels que npm ou autres.
La très populaire librairie axios (téléchargée environ 100 000 000 de fois par semaine !) a été victime d'un hack (supply chain attack), heureusement détecté relativement rapidement.
Un nouveau front-end pour npm, le dépôt de librairies JavaScript.
Une analyse du ver qui a causé une importante attaque sur l'écosystème npm le 24 novembre.
Un outil qui permet de s'assurer qu'un package publié suit les bonnes pratiques.
Quelques pistes pour se protéger des supply chain attacks.
Des bonnes pratiques pour publier des packages JavaScript sur npm.
Un ensemble de bonnes pratiques pour limiter les risques d'attaque par chaîne d'approvisionnement (supply chain attacks) avec npm.
Quelques mesures pour éviter les supply chain attacks comme on en a vu quelques-unes dernièrement dans l'écosystème npm.
Des packages npm très largement utilisés (plus de 2 milliards de téléchargements par semaine au total !) ont été compromis. Pensez à vérifier si vous êtes impacté.
Une réflexion sur l'utilité relative des lockfiles, ces fichiers qui gardent trace de la version exacte de chacune des dépendances d'un projet, incluant les dépendances de dépendances, etc.
D'excellentes recommendations pour la création de packages TypeScript pour npm.
C'est surprenamment difficile de trouver de bonnes ressources en la matière.
Deno dévoile un packagé manager intégré à Deno lui-même qui gère aussi bien les packages npm que JSR.
Une collection de librairies pour Node.js, triées par catégories et par popularité.
L'équipe qui développe Deno, une alternative à Node.js, vient d'annoncer JSR, un nouveau gestionnaire de paquets (package manager) pour les librairies JavaScript et TypeScript. Une alternative à npm donc.
C'est un grand boom dans le monde du JavaScript. Npm est sans conteste l'un des package managers les plus utilisés au monde. Cette annonce pourrait avoir un impact considérable.
Leur approche n'est pas nécessairement d'essayer de forcer les gens à utiliser Deno, JSR est compatible avec la majorité des runtimes JavaScript, incluant Node et Bun. L'idée est plutôt d'analyser ce qui fonctionne bien et ce qui fonctionne moins bien avec npm, notamment du fait qu'il a ete créé il y a longtemps et dans un contexte bien différent de celui d'aujourd'hui, et de repartir de zéro avec quelque chose de plus efficace et plus ouvert.
Très curieux de voir ce que ça va donner. Ça rappelle la grande époque de Bower 😄