Archiv pro štítek: npm

Konec npm tokenů: publikujte balíčky bez secrets přes GitHub Actions

Články ‐ Roman Ožana ‐ JavaScript ‐ 30. 4. 2026

Publikování npm balíčků pomocí dlouhodobých tokenů uložených v GitHub Secrets je pohodlné, ale riskantní. Od léta 2025 nabízí npm elegantnější řešení: Trusted Publishers s OIDC autentizací, které tokeny zcela nahrazují. Žádné secrets, žádná rotace, žádný únik přihlašovacích údajů z logů. Ukážeme si, jak vše nastavit za pár minut.

Vercel potvrdil bezpečnostní incident, hackeři nabízejí ukradená data k prodeji

Zprávičky ‐ Adam Heglas ‐ Webový vývoj ‐ 20. 4. 2026

Cloudová vývojářská platforma Vercel, známá především jako tvůrce populárního frameworku Next.js, oznámila průnik do svých interních systémů, který se dotkl „omezené podskupiny zákazníků“. Společnost incident zveřejnila v bezpečnostním bulletinu a uvedla, že služby…

Axios kompromitovaný na npm (supply chain útok)

Zprávičky ‐ Adam Heglas ‐ JavaScript ‐ 31. 3. 2026

Populární knihovna axios byla krátce kompromitována na npm. Útočník získal přístup k maintainer účtu a publikoval škodlivé verze: Jak útok fungoval Nešlo o přímou úpravu kódu axiosu, ale o supply chain attack přes…

Aktualizace WordPressu: Co se děje pod kapotou, když kliknete na tlačítko

Kliknete na „Update" a za chvíli je hotovo. Jenže co se přesně stalo? WordPress stáhl balíček, přepsal stovky souborů, upravil databázi — a na pár vteřin váš web zmizel pro všechny návštěvníky. Většinou to proběhne bez problémů. Ale když se to rozbije, chcete přesně vědět kde a proč. Pojďme si celý proces rozebrat od začátku do konce.

Je čas přejít na ESM-only. Ekosystém je připravený

V únoru 2025 vyzval Anthony Fu, autor populárních nástrojů kolem Vue, Nuxtu a Vite, ekosystém k opuštění duálního publikování npm balíčků a přechodu na ESM-only. S odstupem více než roku je jasné, že měl pravdu - a že se ekosystém posunul ještě rychleji, než sám čekal. Node.js dnes umí require() i na ESM moduly, podíl balíčků s podporou ESM přesáhl třetinu a komunita označuje rok 2026 za „rok plné adopce ESM".

AI rozbila juniorskou cestu k senioritě. Kód vzniká rychleji, zkušenost pomaleji

AI coding tools automatizují přesně tu práci, na které se vývojáři dřív učili. Krátkodobě výhra, dlouhodobě problém: juniorská kariérní cesta se zužuje a celý obor přichází o přirozený způsob, jak vychovávat seniory.