👇 今日要闻

打破信息壁垒，走近全球前端。Hello World 大家好，我是林语冰。

最近 Bun 效仿 Deno，要从 Zig 语言移植到 Rust “锈化“重写，源码 PR 已经合并了，正式官宣指日可待。

Deno 也不甘示弱，Deno 团队官宣 v2.8 正式发布，号称 Deno 进化史上最大的次版本升级，主要包括：

• Node 兼容性远超 Bun，测试率超过七成
• Deno CLI 新增命令，可以替换 pnpm install 等
• 新增 JS Stage3 import defer 导入延迟提案
• TS 更新到 v6 主版本，支持类型剥离

👉 Node 兼容性超过 Bun

之前 Deno 2.7 针对 Node 官方测试的通过率约为 42%，勉强超过了 Bun 1.3.14 的 40.6%。

Deno 2.8 更进一步，几乎涵盖了所有 node: 模块，测试率飙升到 76.4%，大幅领先 Bun，Deno 和 Bun 的“Rust 竞赛“预计会愈演愈烈。

👉 新增子命令

Deno CLI 新增了几个命令。

deno audit fix 能将漏洞模块升级到最新的补丁版，同时满足我们配置的主/次版本限制，任何需要升级主版本的模块都会单独列出，方便你决定升级与否。

deno bump-version 能更新 package.json 或 deno.json 中的 version 字段。它也适用于 workspace 工作区模式，在根目录运行能将更新应用到每个模块。

还有其他几个命令，我把它们浓缩为下列表格：

命令	作用
deno ci	根据 lockfile 执行安装
deno pack	约等于 tsc + npm pack
deno transpile	TSX 类型剥离，输出 JS
deno why	等价于 npm explain / pnpm why

👉 包管理变更

Deno CLI 不再要求 deno add 和 deno install 命令添加 npm: 前缀，默认将无前缀的包名视为 npm 模块。

注意，CLI 中的 JSR 注册源仍需要 jsr: 前缀，ESM 模块中的 import 语句也要求 npm: 前缀。

这样，deno install 能取代 npm install 或 pnpm install 等命令，允许你使用 Deno 取代 npm 作为包管理器，但项目还是跑在 Node 上，既符合 Node 开发者的肌肉记忆，又提升了安装速度。

过去，monorepo 跨包共享依赖需要手动协调版本，当共享依赖更新时，每个模块的 package.json 必须同步更新。

Deno 2.8 采用 pnpm 的 catalog: 协议，这允许在 workspace 根目录中声明一个默认的 "catalog" 字段：

然后只需使用 catalog: 说明符，就能从任意工作区模块同步依赖版本：

此外，类似 pnpm 的模块隔离结构，Deno 默认的 node_modules 目录结构是隔离的，每个模块都有自己的符号链接解析树，因此它只能看到自己显式声明的依赖。

但一些旧工具仍然依赖 npm install 生成依赖提升的扁平目录结构，每个模块都位于 node_modules 顶层，并且可以 require() 它找到的任何依赖。

deno.json 新增了 nodeModulesLinker 字段，默认值是 "isolated"（隔离目录）：

设置 "nodeModulesLinker": "hoisted"，可以移植一个依赖 npm 扁平目录的现有 Node 项目。

还有，Deno 2.6 就新增了 min-release-age 最小发布时限配置，来拦截大多数供应链攻击。Deno 2.8 支持通过 .npmrc 配置：

👉 JS 新功能

Deno 支持 JS Stage3 的 import defer（延迟导入提案），模块能不运行其顶层代码加载，这样该模块只在首次访问其导出成员时才被执行。

举个栗子，模块先导入，但可以延迟执行：

这样，模块求值会延迟到访问导出成员的那个时间点。当模块求值成本高昂、但又不常使用时，import defer 新特性能缩短启动时间。

👉 TS 更新

TS 编译器更新到 v6.0.3 版本了，这是为了对齐 ts-go（TS 7.x） 的过渡版本，包括类型系统支持 ES2026 的最新功能等大量改动。

此外，deno check 默认包含 lib.node，不需要在 deno.json 中的 compilerOptions.lib 手动添加 "node" 了。

如上，Deno 自动支持 process / Buffer 等 Node 专属的全局变量和类型。lib.node 基于 @types/node 实现，Deno 会从 npm 拉取该模块，process.versions.node 匹配 Node 的主版本，目前是 v24.x。

如果你希望使用其他版本的 @types/node，比如仍在维护的更低版本 Node 22，可以在 package.json 中将其安装为开发依赖：

然后在 deno.json 中让 Deno 导入对应版本的模块：

👉 开发体验

Deno 2.8 支持让 Chrome DevTools（开发者工具）检查网络流量：

1. 运行程序时添加 --inspect-wait 等参数
2. 在 Chromium 中打开 chrome://inspect
3. 点击 Deno 目标上的 Inspect（检查）

开发者工具的“Network“网络选项卡会显示客户端请求和响应头等所有内容：

相同的事件也会通过 node:inspector 客户端和 VS Code 的 JavaScript 调试器等工具显示出来。

此外，Deno 2.8 上线了一个与 Node --cpu-prof 匹配的内置 CPU 分析器，当程序退出时，Deno 会将 V8 的 CPU 分析结果写入磁盘。

.cpuprofile 文件可以在 Chrome DevTools 中直接打开，也可以输出为另外两种格式：

• --cpu-prof-flamegraph 会生成一个独立的交互式 SVG 图片，可以在浏览器中打开
• --cpu-prof-md 会生成一份人类可读的 Markdown 报告，包含最热门的函数等详细信息

👇 重点总结

Deno 2.8 是 Deno 进化史上最大的次版本升级，主要包括：

• Deno CLI 新增了若干命令，Node 兼容性远超 Bun
• 新增 JS Stage3 的 import defer 延迟导入提案
• 包管理器对齐 npm 行为，支持模块提升的扁平化目录
• TS 更新到 v6 主版本，支持类型剥离和 Node 专属类型

除此之外，Deno 官方博客还展示了 Deno 2.8 的性能提升，Web API 新功能等，更多技术细节另请参阅官方博客。

以上就是今日《前端快讯》的全部内容了，希望对你有所帮助。

👍 感谢大家按赞跟转发分享本文，你的手动支持是我坚持创作的不竭动力喔。

🙏 已经关注我的粉丝们，我们下期再见啦，掰掰~~

👇 参考文献：

• 🔗 Deno 2.8 官博：deno.com/blog/v2.8
• 🔗 JS 延迟导入提案：github.com/tc39/propos…
• 🔗 TS v6 官博：devblogs.microsoft.com/typescript/…

🌐 今日要闻

打破信息壁垒，走近全球前端。Hello World 大家好，我是林语冰。

欢迎阅读《Web 周刊》，上周 Web 开发圈的主要情报包括：

• 🐞 Axios 主席疑遭朝鲜黑客“钓鱼“，自爆了社会工程的诈骗过程
• 🌗 npm 可信发布支持 CircleCI，npm 官网新增深色主题
• ✅ ESLint 10.2 支持 JS 最新的 Temporal API
• ✅ Axios 1.15 支持 Deno / Bun，源码重构了 url.parse()

PS：本文附带甜妹解说的动画视频，粉丝请搜索哔哩哔哩@Web情报局。

🎉 每周热搜

🔗 Axios 主席疑遭朝鲜黑客“钓鱼“

Axios 是 GitHub 第一请求库，周下载量过亿。

不幸的是，愚人节前夕，Axios 突然发布了 2 个中毒版本，它们只坚挺了 3 小时就被封杀了，但至少波及几十万用户，这是近一年内最大规模的 npm 供应链攻击。

随后 Axios 团队主席爆料了攻击事件的完整事后分析，首先是它遭到了社会工程“钓鱼“，通过伪造的在线会议安装了有毒软件，导致 npm 账户被盗用。

Axios 源码本身没有 bug，黑客只添加了一个幽灵依赖 plain-crypto-js，其中包含了一个 postinstall 脚本，随后使用传统 npm token 发布中毒版本。

用户使用 npm install axios 之后，postinstall 脚本会自动执行，请求其他恶意软件，盗用系统资料。

之后，这个脚本会自尽，删除 postinstall 脚本，替换为正常 package.json，用户对这种“完美犯罪“浑然不知。

谷歌和微软深入调查了本次赛博攻击，部分证据表明攻击来自朝鲜的黑客组织，但可能很难像川普打伊朗那样直接证明。

总之，供应链攻击是一种系统性原罪。我们应该遵循 npm 发包的最佳实践，防止黑客轻易绕过了现代化的可信发布流程。

🛜 官方情报

🔗 Node bug 悬赏项目破产

2016 年，Node 加盟了 HackerOne 的 IBB（互联网 bug 悬赏）项目，通过众筹为 fix bug 的志愿者提供奖金。

Node 团队会继续接收 bug，但由于资金链中断，该悬赏项目现已暂停。

特别鸣谢一直以来为 Node 安全贡献的开发者和赞助商！Node 是 Web 开发的重要基建，如果你愿意提供赞助，请随时联系 OpenJS 基金会。

🔗 npm 可信发布支持 CircleCI

GitHub 官宣，npm 可信发布支持 CircleCI 作为 OIDC（OpenID 连接）供应商。

CircleCI 现在和 GitHub Actions 与 GitLab CI / CD 一样，维护者能从部署流程鉴权发包，无需长期 token。

此外，npm 官网上线深色主题了。

🔗 Oxlint / Oxfmt 兼容表

Oxc 官网新增了 Oxlint / Oxfmt 兼容表，可以直观地查看它们支持哪些 JS 框架和文件类型，从夯到拉分为四大梯队：

1. 完整支持，比如 Oxlint + Oxfmt 完整支持 React 的代码质检和格式化
2. 部分支持，比如 Oxlint 暂不支持 Vue 模板的代码质检
3. 不支持，比如 Svelte 没有提供 Prettier 插件，Oxfmt 也不支持
4. 越界功能，比如 Oxlint 不支持 CSS 代码质检

🚦 版本更新

🔗 ESLint 10.2

ESLint 是 GitHub 第一 JS Linter（代码质检工具），最近更新了 10.2 次版本。

首先，ESLint 新增了 meta.languages 属性，作者可以指定规则适用的语言，比如 JS 专属规则或 Markdown 专属规则等。

此外，ESLint 还支持 JS 最新的 Temporal 全局变量，no-undef 规则能识别 Temporal 而不会报警，no-obj-calls 规则会在直接调用 Temporal 时报警。

🔗 Axios 1.15

Axios 发布了 1.15 次版本，现在能支持 Bun / Deno。

Axios 还修复了代理处理和头部注入等安全漏洞，CI（持续集成）采用 OIDC 来守卫 npm 发布。

源码使用了原生 URL API，url.parse() 重构为 new URL()。

💡 前端信息差

🔗 CSS 新函数 contrast-color()

最近 npm 上线了深色主题，但还有一些无障碍 bug，比如切换深色主题后文字对比度不够，看不清楚。

Google 专家 Una 之前就提出了一个新的 CSS 函数 contrast-color()，它可以接受任意颜色，然后根据输入的颜色去计算对比度，最终返回 black 或 white。

contrast-color() 可以自动生成对比度更好的文字，完美解决 npm 的无障碍文字 bug。

CSS contrast-color() 函数目前已经达到 Baseline Newly Available（全新可用基线），所有新版的主流浏览器都支持这个功能喔。

🛠️ 工具推荐

为了对抗供应链攻击，本期我们主要分享一些 npm 防御式指南。

🔗 npm 可信发布

首先是 npm 官方文档出品的 trusted publishing（可信发布），它可以让 npm 和 GitHub CI（持续集成）完美搭配。

🔗 npmx 网站

再来是比 npm 更现代化的网站 npmx，npmx 会显示盾牌来说明这个 axios 版本是通过可信发布持续部署的。

你会发现 axios 的某些版本没有盾牌，说明 axios 没有严格使用可信发布，黑客就会从这里寻找机会。

npmx 不仅会警告你这个版本可信度降低，还会爆料模块的性能问题或安全漏洞，我知道你很急，但是你先别升级。

🔗 pnpm 供应链攻击

还有就是比 npm 更现代化的包管理器 pnpm，pnpm v10 的官网提供了缓解供应链攻击的完整指南。

这些配置在最新版的 pnpm 11 中会默认启用，所以提前了解也方便你之后升级到 pnpm 11。

🔗 npm 安全最佳实践

最后，Node 安全专家 Liran 也在 GitHub 上分享了一份《npm 安全最佳实践》，建议收藏。

🙏 特别鸣谢

以上就是本期《Web 周刊》的全部内容了，希望对你有所帮助。

👍 感谢大家按赞跟转发分享本文，你的手动支持是我坚持创作的不竭动力喔。

😘 已经关注我的粉丝们，我们下期再见啦，掰掰~~