ADAMANT Market-making Software 8.0: A Stronger Foundation for Your Token’s Market Presence

Everything but the runtime

Bản tin của một nhà phát triển giới thiệu nub.js, một bộ công cụ Node.js toàn diện mới của Colin McDonnell (tác giả Zod và tRPC), cung cấp công cụ tương tự Bun nhưng không thay thế runtime Node. Ngoài ra, bài viết còn đề cập đến việc Flow chuyển từ OCaml sang Rust, Deno 2.9 với giao diện desktop, Rspack 2.1 hỗ trợ TypeScript 7, các bước song song trong GitHub Actions, Next.js Instant Navigation, và mẹo JavaScript sử dụng Intl.Collator để sắp xếp chuỗi theo ngôn ngữ.

Những công cụ và tiến bộ mới trong Node.js như Nub.js và Deno sẽ giúp tối ưu hóa hiệu suất, quản lý dự án và phát triển nhanh hơn, giúp bạn tiết kiệm thời gian và công sức trong việc xây dựng ứng dụng hiện đại.

CQRS Without the Astronaut Architecture

Bài viết hướng dẫn triển khai CQRS trong Node.js/TypeScript theo cách đơn giản, không cần …

Authorized Logger

Một nhà phát triển tên Gretchen gia nhập dự án Node.js cũ kỹ sau khi bị mua lại và phát hiện hàng loạt lỗi nghiêm trọng: logging bị hỏng chỉ in ra "DEBUG", lỗ hổng SQL injection từ truy vấn thô, thiếu middleware phân quyền trên hầu hết endpoints (kể cả API admin), codebase dừng ở Node.js 14, và dữ liệu request được đưa trực tiếp vào database mà không qua bất kỳ validation nào.

Lập trình viên nên đọc bài này để tránh rơi vào những sai lầm an toàn và thiết kế không hiệu quả trong dự án Node.js, từ đó học cách cải thiện bảo mật, quản lý lỗi và tối ưu hóa hệ thống ngay từ giai đoạn đầu.

Node.js — Node.js 22.23.0 (LTS)

Node.js 22.23.0 (LTS) là bản cập nhật bảo mật chỉ tập trung vào dòng LTS 'Jod', vá 11 lỗ hổng CVE, bao gồm các lỗi nghiêm trọng về chuẩn hóa hostname TLS, bảo vệ độ dài cipher WebCrypto, tăng trưởng bộ nhớ không giới hạn HTTP/2, tiêm NUL byte vào DNS/net hostname, rò rỉ credential proxy, và poisoning hàng đợi HTTP. Các dependency như nghttp2, OpenSSL, llhttp, undici cũng được nâng cấp.

Lập trình viên Node.js nên đọc bài này để cập nhật các bản vá an toàn mới nhất, đặc biệt là các lỗ hổng TLS và WebCrypto có thể ảnh hưởng đến tính bảo mật của ứng dụng web của bạn.

How to Build Secure-by-Default Node.js APIs

Bài viết hướng dẫn xây dựng các API Node.js HTTP theo tiêu chuẩn bảo mật mặc định mà không cần phụ thuộc thư viện ngoài. Sáu biện pháp bảo vệ cốt lõi bao gồm: giới hạn kích thước body request (đo bằng bytes khi streaming), timeout request sử dụng AbortController, phân tích JSON an toàn chống tấn công prototype pollution, thiết lập tiêu đề bảo mật (CSP, HSTS, v.v.), so sánh secret an toàn bằng crypto.timingSafeEqual, và xác thực đầu vào chặt chẽ ngăn chặn mass-assignment. Ngoài ra còn giải thích CORS đúng cách, xử lý lỗi có cấu trúc với request ID, và nhấn mạnh triết lý "bảo mật mặc định tốt hơn checklist".

Lập trình viên nên đọc bài này để tránh rủi ro bảo mật khi phát triển API Node.js bằng cách áp dụng các quy tắc an toàn mặc định từ cơ sở, từ việc kiểm soát kích thước request đến xử lý mật khẩu an toàn, giúp giảm thiểu lỗ hổng mà không cần phụ thuộc vào thư viện phụ.

Issue #630: Node.js 26.4 lands package maps — Node Weekly

Node.js 26.4 bổ sung hỗ trợ thử nghiệm package maps (giải quyết package từ file JSON tĩnh thay vì duyệt node_modules) và bắt đầu giới thiệu subsystem node:vfs của Matteo Collina. Bản tin cũng đề cập đến phân tích về hạn chế bảo mật của npm v12 khi chặn script cài đặt mặc định, bài viết suy đoán về npm chạy trên AT Protocol, TypeScript 7.0 RC với compiler Go nhanh gấp 10 lần, và framework Eve của Vercel cho xây dựng AI agent theo cấu trúc Next.js.

Lập trình viên nên đọc để cập nhật về Node.js 26.4, đặc biệt là tính năng mới về package maps (tối ưu hóa giải quyết phụ thuộc từ JSON thay vì khám phá node_modules) và vfs subsystem của Matteo Collina, giúp cải thiện hiệu suất và quản lý dự án.

Node.js — Node.js 24.18.0 (LTS)

Node.js 24.18.0 LTS (tên mã 'Krypton') bổ sung nhiều cải tiến quan trọng như cập nhật chứng chỉ gốc lên NSS 3.123.1, tối ưu hóa socket HTTP idle, tăng kích thước mặc định Buffer.poolSize lên 64 KiB, bổ sung thuật toán TurboSHAKE, KangarooTwelve cho Web Cryptography, hỗ trợ mã trạng thái HTTP 1xx tùy ý, và cải thiện bảo mật crypto (chống tấn công prototype pollution, tương thích BoringSSL, hỗ trợ ML-DSA/ML-KEM JWK). Ngoài ra, phiên bản này nâng cấp npm lên 11.16.0, SQLite lên 3.53.1 cùng nhiều sửa lỗi khác.

Lập trình viên nên đọc bài này vì phiên bản Node.js mới 24.18.0 LTS mang đến những cải tiến an toàn và hiệu năng quan trọng như hỗ trợ mã hóa WebCrypto mới, nâng cấp bảo mật và cải thiện trải nghiệm phát triển với các tính năng như kiểm soát chính xác độ phủ code và tối ưu hóa stream.