Deploy Node servers with zero configuration

Issue #630: Node.js 26.4 lands package maps — Node Weekly

Node.js 26.4 bổ sung hỗ trợ thử nghiệm package maps (giải quyết package từ file JSON tĩnh thay vì duyệt node_modules) và bắt đầu giới thiệu subsystem node:vfs của Matteo Collina. Bản tin cũng đề cập đến phân tích về hạn chế bảo mật của npm v12 khi chặn script cài đặt mặc định, bài viết suy đoán về npm chạy trên AT Protocol, TypeScript 7.0 RC với compiler Go nhanh gấp 10 lần, và framework Eve của Vercel cho xây dựng AI agent theo cấu trúc Next.js.

Lập trình viên nên đọc để cập nhật về Node.js 26.4, đặc biệt là tính năng mới về package maps (tối ưu hóa giải quyết phụ thuộc từ JSON thay vì khám phá node_modules) và vfs subsystem của Matteo Collina, giúp cải thiện hiệu suất và quản lý dự án.

What you need to know about Lambda MicroVMs

AWS giới thiệu Lambda MicroVMs, một giải pháp compute mới kết hợp tính cô lập cấp VM (qua Firecracker), khởi động nhanh từ snapshot đã khởi tạo sẵn, và phiên session kéo dài tới 8 giờ. Khác biệt so với Lambda tiêu chuẩn, MicroVMs cung cấp endpoint HTTPS bền vững, hỗ trợ HTTP/2, gRPC, WebSockets, cũng như truy cập shell và Docker bên trong VM, nhằm mục đích chạy code do AI hoặc người dùng cung cấp trong môi trường sandbox. Tuy nhiên, giải pháp này chỉ hỗ trợ ARM64, có sẵn ở 5 vùng (region) và có mức giá tương tự Fargate. Bài viết cũng so sánh Lambda MicroVMs với AgentCore Runtime: AgentCore là nền tảng agent quản lý có sẵn giao thức tích hợp, trong khi Lambda MicroVMs là giải pháp nguyên thủy cấp thấp mang lại toàn quyền kiểm soát VM.

Là người phát triển cần tìm giải pháp an toàn cho các ứng dụng yêu cầu môi trường VM hoàn toàn riêng biệt, như chạy mã AI hoặc code từ người dùng trong môi trường sandbox, thì Lambda MicroVMs từ AWS sẽ cung cấp giải pháp hiệu quả hơn so với các phương pháp truyền thống.

How to Build Secure-by-Default Node.js APIs

Bài viết hướng dẫn xây dựng các API Node.js HTTP theo tiêu chuẩn bảo mật mặc định mà không cần phụ thuộc thư viện ngoài. Sáu biện pháp bảo vệ cốt lõi bao gồm: giới hạn kích thước body request (đo bằng bytes khi streaming), timeout request sử dụng AbortController, phân tích JSON an toàn chống tấn công prototype pollution, thiết lập tiêu đề bảo mật (CSP, HSTS, v.v.), so sánh secret an toàn bằng crypto.timingSafeEqual, và xác thực đầu vào chặt chẽ ngăn chặn mass-assignment. Ngoài ra còn giải thích CORS đúng cách, xử lý lỗi có cấu trúc với request ID, và nhấn mạnh triết lý "bảo mật mặc định tốt hơn checklist".

Lập trình viên nên đọc bài này để tránh rủi ro bảo mật khi phát triển API Node.js bằng cách áp dụng các quy tắc an toàn mặc định từ cơ sở, từ việc kiểm soát kích thước request đến xử lý mật khẩu an toàn, giúp giảm thiểu lỗ hổng mà không cần phụ thuộc vào thư viện phụ.

Introducing eve, an open-source agent framework

Vercel vừa giới thiệu eve, một framework mã nguồn mở theo hướng filesystem-first, viết bằng TypeScript, giúp xây dựng, triển khai và mở rộng các AI agent. Framework này hỗ trợ nhiều tính năng tích hợp như thực thi bền vững, sandboxed compute, human-in-the-loop, subagents và evals, đồng thời tương thích với mọi model, MCP server và các kênh như Slack, Discord hay GitHub.

Là lập trình viên phát triển ứng dụng AI, bạn nên đọc để khám phá cách xây dựng các hệ thống agent mạnh mẽ với kiến trúc đơn giản, tích hợp tự động với các công cụ và nền tảng phổ biến, giúp tiết kiệm thời gian và nâng cao hiệu suất triển khai.

CQRS Without the Astronaut Architecture

Bài viết hướng dẫn triển khai CQRS trong Node.js/TypeScript theo cách đơn giản, không cần …

Authorized Logger

Một nhà phát triển tên Gretchen gia nhập dự án Node.js cũ kỹ sau khi bị mua lại và phát hiện hàng loạt lỗi nghiêm trọng: logging bị hỏng chỉ in ra "DEBUG", lỗ hổng SQL injection từ truy vấn thô, thiếu middleware phân quyền trên hầu hết endpoints (kể cả API admin), codebase dừng ở Node.js 14, và dữ liệu request được đưa trực tiếp vào database mà không qua bất kỳ validation nào.

Lập trình viên nên đọc bài này để tránh rơi vào những sai lầm an toàn và thiết kế không hiệu quả trong dự án Node.js, từ đó học cách cải thiện bảo mật, quản lý lỗi và tối ưu hóa hệ thống ngay từ giai đoạn đầu.

Node.js — Node.js 24.18.0 (LTS)

Node.js 24.18.0 LTS (tên mã 'Krypton') bổ sung nhiều cải tiến quan trọng như cập nhật chứng chỉ gốc lên NSS 3.123.1, tối ưu hóa socket HTTP idle, tăng kích thước mặc định Buffer.poolSize lên 64 KiB, bổ sung thuật toán TurboSHAKE, KangarooTwelve cho Web Cryptography, hỗ trợ mã trạng thái HTTP 1xx tùy ý, và cải thiện bảo mật crypto (chống tấn công prototype pollution, tương thích BoringSSL, hỗ trợ ML-DSA/ML-KEM JWK). Ngoài ra, phiên bản này nâng cấp npm lên 11.16.0, SQLite lên 3.53.1 cùng nhiều sửa lỗi khác.

Lập trình viên nên đọc bài này vì phiên bản Node.js mới 24.18.0 LTS mang đến những cải tiến an toàn và hiệu năng quan trọng như hỗ trợ mã hóa WebCrypto mới, nâng cấp bảo mật và cải thiện trải nghiệm phát triển với các tính năng như kiểm soát chính xác độ phủ code và tối ưu hóa stream.