Une analyse du ver qui a causé une importante attaque sur l'écosystème npm le 24 novembre.
Un outil qui permet de s'assurer qu'un package publié suit les bonnes pratiques.
Quelques pistes pour se protéger des supply chain attacks.
Des bonnes pratiques pour publier des packages JavaScript sur npm.
Un ensemble de bonnes pratiques pour limiter les risques d'attaque par chaîne d'approvisionnement (supply chain attacks) avec npm.
Quelques mesures pour éviter les supply chain attacks comme on en a vu quelques-unes dernièrement dans l'écosystème npm.
Des packages npm très largement utilisés (plus de 2 milliards de téléchargements par semaine au total !) ont été compromis. Pensez à vérifier si vous êtes impacté.
Une réflexion sur l'utilité relative des lockfiles, ces fichiers qui gardent trace de la version exacte de chacune des dépendances d'un projet, incluant les dépendances de dépendances, etc.
D'excellentes recommendations pour la création de packages TypeScript pour npm.
C'est surprenamment difficile de trouver de bonnes ressources en la matière.
Deno dévoile un packagé manager intégré à Deno lui-même qui gère aussi bien les packages npm que JSR.
Une collection de librairies pour Node.js, triées par catégories et par popularité.
L'équipe qui développe Deno, une alternative à Node.js, vient d'annoncer JSR, un nouveau gestionnaire de paquets (package manager) pour les librairies JavaScript et TypeScript. Une alternative à npm donc.
C'est un grand boom dans le monde du JavaScript. Npm est sans conteste l'un des package managers les plus utilisés au monde. Cette annonce pourrait avoir un impact considérable.
Leur approche n'est pas nécessairement d'essayer de forcer les gens à utiliser Deno, JSR est compatible avec la majorité des runtimes JavaScript, incluant Node et Bun. L'idée est plutôt d'analyser ce qui fonctionne bien et ce qui fonctionne moins bien avec npm, notamment du fait qu'il a ete créé il y a longtemps et dans un contexte bien différent de celui d'aujourd'hui, et de repartir de zéro avec quelque chose de plus efficace et plus ouvert.
Très curieux de voir ce que ça va donner. Ça rappelle la grande époque de Bower 😄
Dix règles de sécurité à suivre lorsque vous travaillez avec NPM.
Un outil pour analyser la taille d'un package npm.
Mettre à jour npm avec nvm pour Windows n'est pas une mince affaire. Voici une façon de faire. Il faut aussi s'assurer que votre path pointe prioritairement sur la version de npm du répertoire d'installation de nodejs (Program Files) et non pas celle de AppData.
Pour vérifier, faites where npm.
Utiliser Nexus comme repository NPM. Ça permet par exemple de garder un cache de tous les packages que vous utilisez histoire d'être safe si un package vient à disparaître ou si NPM est offline.
Pas toujours facile de savoir quels packages sont installés globalement et quelles sont leur versions.
Si vous avez des soucis avec le package npm node-sass sur Windows, lancez en admin :
$ npm install --global --production windows-build-tools