Un outil (de Google) pour obtenir des infos sur vos dépendances, quelle que soit la techno.
Il gère :
Pourquoi npmx est un projet fascinant et nécessaire pour le plus gros écosystème de packages du monde.
Un proxy npm très facile à mettre en place, pour toujours avoir une copie de vos dépendances, au cas où l'auteur déciderait de tout supprimer par exemple.
Tour d'horizon des workspaces npm.
Quelques réflexions sur les risques inhérents à l'utilisation de packages managers tels que npm ou autres.
La très populaire librairie axios (téléchargée environ 100 000 000 de fois par semaine !) a été victime d'un hack (supply chain attack), heureusement détecté relativement rapidement.
Un nouveau front-end pour npm, le dépôt de librairies JavaScript.
Une analyse du ver qui a causé une importante attaque sur l'écosystème npm le 24 novembre.
Un outil qui permet de s'assurer qu'un package publié suit les bonnes pratiques.
Quelques pistes pour se protéger des supply chain attacks.
Des bonnes pratiques pour publier des packages JavaScript sur npm.
Un ensemble de bonnes pratiques pour limiter les risques d'attaque par chaîne d'approvisionnement (supply chain attacks) avec npm.
Quelques mesures pour éviter les supply chain attacks comme on en a vu quelques-unes dernièrement dans l'écosystème npm.
Des packages npm très largement utilisés (plus de 2 milliards de téléchargements par semaine au total !) ont été compromis. Pensez à vérifier si vous êtes impacté.
Une réflexion sur l'utilité relative des lockfiles, ces fichiers qui gardent trace de la version exacte de chacune des dépendances d'un projet, incluant les dépendances de dépendances, etc.
D'excellentes recommendations pour la création de packages TypeScript pour npm.
C'est surprenamment difficile de trouver de bonnes ressources en la matière.
Deno dévoile un packagé manager intégré à Deno lui-même qui gère aussi bien les packages npm que JSR.