npm v12 is now generally available with two major security-focused changes. Install scripts (preinstall, install, postinstall) are now off by default, requiring explicit opt-in via allowScripts. This also blocks implicit node-gyp rebuilds triggered by binding.gyp files — a technique exploited in recent Miasma/Phantom Gyp supply chain attacks. Git and remote URL dependencies also default to blocked. The change is a soft skip by default (with a strict-allow-scripts opt-in for CI). Additionally, npm begins deprecating 2FA-bypass granular access tokens: sensitive account and publishing actions will require interactive 2FA sessions starting August 2026, with direct publishing from bypass tokens removed around January 2027. A previously planned breaking change for unknown .npmrc keys has been softened to a warning. npm may also backport v12 defaults to Node 24 and 26 LTS lines.
Nguồn: https://socket.dev/blog/npm-12. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Nhóm phát triển PHP vừa tung ra phiên bản 8.4.23, một bản cập nhật bảo mật quan trọng cho …
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng …
Electron 43 vừa ra mắt với Chromium 150.0.7871.46, Node.js v24.17.0 và V8 15.0, cải thiện hiệu suất khởi động ứng dụng nhờ snapshot và bytecode caching, hỗ trợ cửa sổ không viền có góc bo tròn trên Linux, API quản lý thông báo mới trên macOS, và tải xuống mặc định vào thư mục Downloads. Phiên bản này cũng đánh dấu chấm dứt hỗ trợ binary 32-bit (Windows x86, Linux ARM) và có một số thay đổi phá vỡ (breaking changes) như chuẩn hóa pixel nativeImage sang SRGB.
Lập trình viên cần đọc bài này để cập nhật kiến thức về các cải tiến hiệu suất khởi động ứng dụng và tính năng mới như cửa sổ không khung trên Linux, quản lý thông báo macOS, và các thay đổi quan trọng về API như loại bỏ showHiddenFiles trên Linux để tránh rủi ro về tính bảo mật và tương thích.
Phiên bản pnpm 11.10 bổ sung tính năng _auth ràng buộc credential vào host URL, ngăn chặn việc chuyển hướng token tới registry độc hại. Bản cập nhật cũng khắc phục lỗi hồi quy từ tháng 6 liên quan đến biến môi trường trong registry private, đồng thời tăng cường bảo mật cho pnpm deploy và pnpm pack-app cùng nhiều cải tiến khác. Ngoài ra, người dùng có thể trải nghiệm pnpm v12 (viết bằng Rust) thông qua lệnh pnpm self-update next-12.
Lập trình viên nên đọc vì pnpm 11.10 nâng cấp bảo mật và hiệu suất bằng cách khóa xác thực đăng nhập registry theo URL, khắc phục lỗi bảo mật và hiệu suất trong các dự án sử dụng registry riêng, đồng thời giới thiệu tính năng chuẩn bị cho phiên bản Rust (v12) với tốc độ cao hơn.
Các nhà nghiên cứu phát hiện lỗ hổng tấn công "HalluSquatting" dựa trên kỹ thuật prompt injection, lợi dụng khả năng "ảo giác" (hallucination) của các mô hình ngôn ngữ lớn (LLMs) trong trợ lý lập trình AI để lây nhiễm hàng loạt máy thông qua các gói giả mạo. Chín công cụ lập trình AI phổ biến, bao gồm Cursor, Gemini CLI, GitHub Copilot, đang bị khai thác để xây dựng botnet quy mô lớn.
Lập trình viên nên đọc bài này để hiểu cách bảo mật mã nguồn của mình chống lại những cuộc tấn công mới như HalluSquatting, có thể lây lan rộng rãi qua các công cụ AI hỗ trợ lập trình mà họ đang sử dụng hàng ngày.
Node.js 26.4.0 bổ sung nhiều tính năng mới như node:vfs (hỗ trợ mount VFS), buffer tùy chỉnh cho readFile(), package maps trong module loader, nén chứng chỉ TLS, điều khiển TCP keepalive (TCP_KEEPINTVL/TCP_KEEPCNT) cùng cải tiến xử lý kết nối HTTP. Bản phát hành cũng sửa nhiều lỗi trong streams, crypto, QUIC, SQLite, debugger và bộ theo dõi file, đồng thời cập nhật dependencies (npm 11.17.0, libffi 3.6.0, SQLite 3.53.2, ngtcp2 1.23.0) và tối ưu hiệu suất cho buffers, streams.
Lập trình viên nên đọc bài này để cập nhật về các cải tiến mới trong Node.js 26.4.0, đặc biệt là các tính năng như VFS (Virtual File System) tích hợp, tối ưu hóa TCP keepalive và cập nhật các module quan trọng như npm và libffi, giúp nâng cao hiệu suất và độ ổn định cho các ứng dụng Node.js hiện đại.
Bài viết hướng dẫn triển khai CQRS trong Node.js/TypeScript theo cách đơn giản, không cần cơ sở hạ tầng phức tạp như event sourcing hay message queues. CQRS ở đây chỉ là cách tổ chức code tách biệt logic ghi (commands) và đọc (queries), với ví dụ TypeScript cụ thể về rich write side và lean read side. Tác giả khuyên nên bắt đầu từ phân tách code đơn giản rồi nâng cấp dần khi cần thiết.
Lập trình viên nên đọc bài này để hiểu cách áp dụng CQRS một cách đơn giản và hiệu quả trong Node.js/TypeScript mà không cần phụ thuộc vào kiến trúc phức tạp, từ đó tối ưu hóa quy trình phát triển và bảo trì ứng dụng của mình.
GitHub triển khai tính năng public monitoring cho Secret Scanning, giám sát toàn bộ bề mặt công khai của github.com (bao gồm nội dung git, pull request, issues) để phát hiện các bí mật doanh nghiệp bị rò rỉ theo thời gian thực, nhưng vẫn tồn tại những hạn chế như không phát hiện được bí mật bị đánh cắp tới hạ tầng kiểm soát của kẻ tấn công, không quét logs workflow, và chỉ phát hiện sau khi xảy ra sự cố. Doanh nghiệp nên kết hợp tính năng này với các biện pháp kiểm soát egress runtime (như Harden-Runner) để ngăn chặn rò rỉ bí mật ngay từ lớp mạng.
Lập trình viên nên đọc bài này để hiểu cách bảo mật các mã nguồn công khai trên GitHub bị lộ thông qua các công cụ mới và hạn chế của chúng, giúp họ xây dựng chiến lược phòng thủ đa lớp (layered defense) hiệu quả hơn.