Node.js技术周刊 2026年第17周
TypeScript 7.0 Beta 发布(Go驱动,性能提升10倍),Node.js LTS和Current双版本更新,Axios供应链攻击事件引发安全关注。
🔥 头条
aube:全新 Node.js 包管理器
是的,又来一个!值得关注的是,它来自 mise 的开发者,mise 是一款让多语言管理变得轻松很多的工具。aube 的卖点在于原生性能和可直接替换使用。它的默认配置也注重安全性。
📖 文章
编写更好的提示词
跟随 GitHub 的 Sabrina Goldfarb 学习这门详细的视频课程,了解如何用 AI 生成更高质量的代码。学习适用于各种工具的实用提示技巧,将你的项目想法变为现实。
使用 .NET Native AOT 编写 Node.js 插件
现在你可以用 C# 等 .NET 语言编写 Node 原生插件了。Native AOT 将程序编译为共享库(或可执行文件),可以暴露 N-API 入口点供 Node 调用,就像 C/C++ 扩展一样。
TypeScript 7.0 Beta:快 10 倍的 TypeScript 编译器
Go 驱动的 TypeScript 原生移植版本首个 Beta 版,声称性能"快约 10 倍"。TypeScript 6.0 作为升级过程中的过渡版本仍然重要,因为 TS 7.0 沿用了 6.0 的默认配置变更,6.0 的弃用项现在变为硬错误。此外还有变更……
构建不会在生产环境中崩溃的持久化 AI Agent(网络研讨会)
学习开源的四层架构栈,使用 Agentspan 跨 LangGraph、OpenAI 和 Google SDK 运行持久化 AI Agent。
Optique 1.0:类型安全的组合式 CLI 解析器
为 CLI 构建可组合的解析器,具备类型安全、类型推断和内置 shell 补全支持,还支持配置文件集成和从相同定义生成 man 手册页。v1.0 是首个稳定版本,Hong 将其与 Commander.js 进行了比较,并解释了为什么你会选择 Optique。
DocMD:从 Markdown 构建生产级文档站
基于 Node 的零配置文档站生成器,专注于生成精简、快速的输出(它自己的文档站就是一个好例子)。内置 i18n 和版本管理,本周新增 deploy 命令,可生成适用于 Docker、Nginx 和 Caddy 的即部署文件。
rocksdb-js:Node 的新 RocksDB 绑定
近年来从 Node 使用 Facebook 的 RocksDB 键值存储一直比较混乱,现在终于有了一个新的、现代的原生插件来完成这项工作。GitHub 仓库。
不再为监控一个 Node 应用而切换 5 个工具
错误、性能、日志、正常运行时间、主机指标——AppSignal 为你的 Node.js 技术栈处理所有这些。开箱即用自动插桩 Express、Koa、Prisma 和 BullMQ。基于请求的定价,无限席位。免费 30 天试用,无需信用卡。
OWASP NPM 安全最佳实践速查表
一份持续更新的长期资源,仍然是有用的检查清单。近期更新涉及禁用生命周期脚本、拼写抢注、可信发布和依赖混淆。
嵌套 Promise 的用途
James 重新审视了 2013 年的 Promises/A+ 单子辩论,并因为遇到的一个真实并发问题而改变了看法。门槛较高但有收获。
你已经有了 Postgres,何不让它也处理分析?
TimescaleDB 添加了超表、95% 压缩率和连续聚合。无需第二个数据库,无需数据管道。免费试用。
你不必参加全部 44 场 Postgres 演讲
POSETTE: An Event for Postgres 2026 是一场免费的虚拟开发者活动,于 6 月 16-18 日举行。全部 44 场演讲将直播,之后也可回看。加入直播可参与与演讲者和与会者的讨论。查看日程并标记你的日历。
你无法取消 Promise(但有时可以)
你无法取消一个 Promise,但你可以让一个异步函数 await 一个永远不会 resolve 的 Promise 来停止它。函数会静默停止,GC 会清理它。这不仅仅是技巧;Inngest 在生产中使用它来中断长时间运行的工作流函数。
Node 安全漏洞赏金项目因资金中断而暂停
自 2016 年以来,Node.js 项目为符合条件的安全漏洞报告提供赏金。该项目由 Internet Bug Bounty 项目资助,后者因在 AI 辅助的领域中重新定位而暂停。仍可提交报告,但不再提供金钱奖励。
tsdown 现可生成 Node 应用的可执行文件
tsdown 是 VoidZero(Evan You 的公司)出品的库打包工具,现已支持使用 Node 的 Single Executable Applications (SEA) 功能构建独立可执行文件。
分析不需要独立的基础设施
TimescaleDB 扩展 Postgres,让分析在实时数据上运行。相同连接,无需数据管道,无需第二个数据库。免费开始。
Marked.js 18.0:快速 Markdown 解析库
一个为速度而生的底层 Markdown 编译器,同时支持客户端和服务端。演示页面展示了基本功能。v18 是一个 Bug 修复版本,同时升级到了 TypeScript 6。GitHub 仓库。
Memetria K/V:高效的 Redis 和 Valkey 托管服务
Memetria K/V 为 Node.js 应用托管 Redis OSS 和 Valkey,具备大键追踪和详细分析功能。
Axios 供应链攻击的隐藏影响范围
你可能已经听说本周通过 Axios 发起的供应链攻击(如果没有,请务必检查你是否受影响)。Ahmad 反思了此类攻击的机制,以及为什么其影响范围比你想的更广。
npm Workspaces 入门指南
通过 workspaces,你可以在一个仓库中管理多个包,并链接本地包使它们可以按名称互相导入。npm 随后在安装时会提升和去重兼容的依赖。
在生产级保真沙箱中运行 Agent
Ox 为每个 Agent 任务启动沙箱。隔离的代码、计算和数据。以零影响范围对生产环境进行测试。
🛠 工具
Bun v1.3.13:更智能的测试和更低的内存占用
这个替代运行时增强了 bun test,新增测试环境隔离、并行化以及仅运行受近期变更影响的测试等选项。运行时内存占用减少 5%,bun install 速度也有所提升,还有其他改进。
Node 推进默认启用 Temporal API
Temporal API 旨在现代化 JavaScript 的日期/时间处理,上个月达到 Stage 4。Node 一直在等待 V8 将其默认启用,这已在 V8 14.4 中实现,现在正在推进最终在 Node 26 中发布。
Node.js 24.15.0 (LTS) 发布
Node 的 LTS 版本从 v25 移植了一些新特性,包括 require(esm) 和模块编译缓存被标记为稳定,以及 --max-heap-size 和 OpenSSL 4.0 构建支持。
x-win:从 Node 检查打开和活动窗口
获取 macOS、Linux 和 Windows 上打开窗口的位置、大小、应用图标和标题,以及其底层进程的进程信息和内存使用情况。
Axios 供应链攻击事后分析
Axios 团队分享了最近供应链攻击的详细事后分析,其中木马通过恶意依赖被引入。攻击计划周密,涉及精心策划的社会工程学手段。
web-audio-api:在 Node 中使用 Web Audio API
在 Node 中获得完整的 Web Audio API 支持,可以在机器上播放音频或渲染到文件(是的,Tone.js 也能用)。有大量示例可供参考。v1.0/1.3 支持全部 26 种音频节点类型,WPT 测试套件通过率 100%。
Node.js 25.9.0 (Current) 发布
包括用于设置进程最大堆大小的 --max-heap-size 选项,James Snell 的实验性"更好的流 API"实现作为 stream/iter 落地(文档在此),以及测试运行器模块 mock 的改进。
node-re2:Google RE2 正则库的绑定
RE2 是一个具有线性时间匹配的正则表达式库,可免疫由回溯引起的 ReDoS 攻击。node-re2 提供了近乎直接替代 RegExp 的方案。
Defuddle:从网页中提取主要内容
去除 HTML 中的杂乱内容,只留下主要内容供你使用。有演示页面可以试用。
- 点赞
- 收藏
- 关注作者
评论(0)