作者 | Daniel Curtis译者 | 明知山Vercel 近日 发布 Next.js 16.2，开源 React 框架的最新版本，带来了性能提升、更好的调试体验、面向 AI 智能体的新工具，以及 超过 200 项 Turbopack 相关修复与改进。本次发布的核心亮点是速度。Vercel 官方数据显示，next dev 启动速度提升了约 400%，在默认应用中比 Next.js 16.1 ...

过去几年，React 世界几乎只有一个标准答案： 但 AI 时代到来之后，框架的评价标准开始发生变化。 以前大家关注的是社区规模、招聘市场和生态成熟度；现在越来越多团队开始关注： TanStack 一直坚持一个非常鲜明的理念： ...

Josh W. Comeau——那个写《CSS for JavaScript Developers》的 Josh——最近在他的博客上发了篇文章，直接拿 CSS keyframes、原生 JS ...

Python 有硬伤，在 3.15 之前无法 lazy import，导致启动时要初始化一堆对象，冷启动太慢。 同时 JS 可以在 TUI 中写 React，复杂界面效率高一大截。

IT之家 5 月 25 日消息，国家网络安全通报中心今日发布预警，称监测发现，全球主流 JavaScript 软件包管理平台 npm 遭“沙虫”（Shai-Hulud）供应链投毒攻击。攻击者攻陷了 npm 官方维护者账户，并在短时间内批量投放大量恶意软件包，涉及 300 余个独立程序包的 600 余个恶意版本，影响多个热门开源项目。 据介绍，当开发者安装恶意依赖包后，程序会自动在本地主机、CI / ...

新京报讯 据国家网络安全通报中心消息，监测发现，全球主流JavaScript软件包管理平台npm遭“沙虫”（Shai-Hulud）供应链投毒攻击。攻击者攻陷了npm官方维护者账户，并在短时间内批量投放大量恶意软件包，涉及300余个独立程序包的600余个恶意版本，影响多个热门开源项目。当开发者安装恶意依赖包后，程序会自动在本地主机、CI/CD流水线环境执行恶意代码，窃取GitHub Token、np ...

IT之家5 月 12 日消息，网络安全检测机构 Socket 于当地时间 5 月 11 日发出警报，在开源工具库 TanStack 旗下约 84 个 NPM 软件包的恶意版本中发现疑似凭证窃取恶意代码。 受影响软件包覆盖 42 个 @tanstack/* 命名空间下的项目，其中 @tanstack / react-router 的周下载量超 1200 万次，此类工具包在 NPM 生态中被广泛直接或 ...

2025 年网络安全领域迎来范式转移，攻击焦点直指 AI 基础设施与软件供应链，传统防御体系面临严峻挑战。年度漏洞总量呈波动上升趋势，月均发现 4283 个漏洞，12 月达 5579 个年度峰值，环比增长 68.55%。漏洞严重程度上，中危占比 46.29%、高危 34.82%，二者合计超 ...

Next.js 发布了一款名为 fix-react2shell-next 的专用命令行工具，帮助开发者快速检测并修复高危"React2Shell"漏洞（CVE-2025-66478）。这款新型扫描器提供单行命令解决方案，可识别存在漏洞的 Next.js 和 React Server Components（RSC）版本，并自动应用最新 Next.js 版本中包含的 ...

IT之家12 月 4 日消息，热门 JavaScript 框架 React 昨日发布官方公告，React Server Components 中存在一个未经身份验证的远程代码执行漏洞，建议开发者立即升级修补漏洞。 11 月 29 日，Lachlan Davidson 报告了 React 中的一个安全漏洞，该漏洞允许通过利用 React 解码发送到 ...

Hybrid 开发模式越来越常见：原生 Android / iOS + React Native 模块混合开发。 但是，很多人遇到一个小坑： 我想直接在 Hybrid 工程 ...