В Node.js и других системах управления зависимостями, devDependencies обычно используются для зависимостей, которые нужны только для разработки, тестирования, отладки и сборки проекта, но не нужны для запуска в продакшн окружении. Вот несколько правил, которые могут помочь определить, какие зависимости следует добавлять в devDependencies, а какие - в dependencies: 1. Если зависимость используется только во время разработки, например, для запуска локального сервера или сборки проекта, то ее нужно добавлять в devDependencies...

👋🏻 Привет! С вами снова Merion Academy - платформа доступного IT образования. Эта статья послужит хорошим руководством по вашему любимому верному спутнику Node.js – npm. Node.js штурмует мир с 2009 года. Сотни тысяч систем были построены с помощью Node.js, что побудило сообщество разработчиков заявить, что «JavaScript поглощает программное обеспечение». Одним из составляющий успеха Node стал npm – его популярный диспетчер пакетов, который позволяет разработчикам JavaScript быстро и легко обмениваться полезными пакетами, такими как lodash и moment...

В ночь на 19 мая злоумышленники опубликовали 633 вредоносные версии пакетов в реестре npm, успешно пройдя проверку подлинности Sigstore. Атака стала возможной благодаря компрометации учетной записи мейнтейнера, что позволило получить валидные сертификаты для подписи пакетов. Система Sigstore корректно подтвердила, что пакеты были собраны в CI-среде, однако не смогла определить, был ли автором публикации легитимный разработчик или злоумышленник с украденными данными. Параллельно была зафиксирована атака на популярное расширение Nx Console для VS Code, установленное более 2,2 млн раз...