koishi-plugin-market-next 3.4.3 → 3.4.5
This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.
- package/CHANGELOG.md +12 -0
- package/README.md +21 -5
- package/package.json +6 -1
package/CHANGELOG.md
CHANGED
|
@@ -2,6 +2,18 @@
|
|
|
2
2
|
|
|
3
3
|
本文件记录 `koishi-plugin-market-next` 已发布到 npm 的版本差异。
|
|
4
4
|
|
|
5
|
+
## 3.4.5
|
|
6
|
+
|
|
7
|
+
- CI 和发布 workflow 增加 `audit:package`,要求 market-next 自身发布依赖树排除 peer runtime 后为 0 漏洞。
|
|
8
|
+
- 保留完整安装树的高危 audit 门禁,继续阻止 high / critical 漏洞进入发布。
|
|
9
|
+
- README 补充 Koishi peer runtime 中危的来源和边界,避免把上游运行时链路误判为 market-next 发布包本体漏洞。
|
|
10
|
+
|
|
11
|
+
## 3.4.4
|
|
12
|
+
|
|
13
|
+
- 安全审计:通过 npm override 将 `@koishijs/plugin-console` 链路中的 `uuid` 收敛到 `11.1.1` 以上。
|
|
14
|
+
- 完整 `npm audit` 从 14 个中危降到 13 个中危;高危与严重漏洞保持为 0。
|
|
15
|
+
- 剩余中危来自 Koishi / Cordis 的 `file-type` 上游链路,未使用会破坏兼容或降级 Console 的强制修复。
|
|
16
|
+
|
|
5
17
|
## 3.4.3
|
|
6
18
|
|
|
7
19
|
- 安全审计:通过 npm overrides 修复构建链路中的 `js-yaml` transitive 漏洞。
|
package/README.md
CHANGED
|
@@ -1,6 +1,6 @@
|
|
|
1
1
|
# koishi-plugin-market-next
|
|
2
2
|
|
|
3
|
-
|
|
4
4
|
|
|
5
5
|
|
|
6
6
|
|
|
@@ -297,6 +297,8 @@ plugins:
|
|
|
297
297
|
|
|
298
298
|
```bash
|
|
299
299
|
npm install
|
|
300
|
+
npm run audit:package
|
|
301
|
+
npm run audit:high
|
|
300
302
|
npm run build
|
|
301
303
|
npm pack --dry-run
|
|
302
304
|
```
|
|
@@ -305,6 +307,8 @@ npm pack --dry-run
|
|
|
305
307
|
|
|
306
308
|
| 命令 | 说明 |
|
|
307
309
|
| --- | --- |
|
|
310
|
+
| `npm run audit:package` | 审计插件自身发布依赖树,排除 Koishi peer runtime。 |
|
|
311
|
+
| `npm run audit:high` | 审计完整安装树的高危及严重漏洞。 |
|
|
308
312
|
| `npm run build` | 生成 TypeScript 声明、后端 bundle 和前端 `dist`。 |
|
|
309
313
|
| `npm run build:dts` | 只生成 TypeScript 声明。 |
|
|
310
314
|
| `npm run build:js` | 只运行 JS / Console 构建。 |
|
|
@@ -325,7 +329,7 @@ lib/ 后端与类型构建产物
|
|
|
325
329
|
|
|
326
330
|
仓库内置两个 GitHub Actions workflows:
|
|
327
331
|
|
|
328
|
-
- `.github/workflows/ci.yml`:普通 push 和 pull request 运行 `npm ci`、`npm audit
|
|
332
|
+
- `.github/workflows/ci.yml`:普通 push 和 pull request 运行 `npm ci`、`npm run audit:package`、`npm run audit:high`、`npm run build` 和 `npm pack --dry-run`,只验证,不发布。
|
|
329
333
|
- `.github/workflows/publish.yml`:`v*` tag 或手动触发时运行同样的校验,然后通过 npm Trusted Publishing 发布到 npm。
|
|
330
334
|
|
|
331
335
|
首次使用前,需要在 npm 包设置里添加 Trusted Publisher:
|
|
@@ -338,13 +342,13 @@ lib/ 后端与类型构建产物
|
|
|
338
342
|
发布新版本时先提交 `package.json`、`README.md`、`CHANGELOG.md` 等版本变更,再推送匹配版本号的 tag:
|
|
339
343
|
|
|
340
344
|
```bash
|
|
341
|
-
git tag v3.4.
|
|
342
|
-
git push origin v3.4.
|
|
345
|
+
git tag v3.4.5
|
|
346
|
+
git push origin v3.4.5
|
|
343
347
|
```
|
|
344
348
|
|
|
345
349
|
也可以在 GitHub Actions 页面手动运行 `Publish to npm`,但输入版本必须与 `package.json` 一致,并且只能从默认分支触发。workflow 会先检查 npm 上是否已经存在同版本,存在则直接失败,避免覆盖发布。
|
|
346
350
|
|
|
347
|
-
|
|
351
|
+
当前安全策略分两层:`npm run audit:package` 要求插件自身发布依赖树没有已知漏洞;`npm run audit:high` 要求完整安装树没有高危或严重漏洞。完整 `npm audit` 中剩余的中危来自 Koishi peer runtime 的 Cordis / `file-type` 链路,npm 给出的修复路径会降级 Koishi 或跨 Cordis 主版本,因此不强行处理,避免为了 audit 破坏插件兼容性。
|
|
348
352
|
|
|
349
353
|
## 发布包内容
|
|
350
354
|
|
|
@@ -358,6 +362,18 @@ git push origin v3.4.3
|
|
|
358
362
|
|
|
359
363
|
## 版本更新
|
|
360
364
|
|
|
365
|
+
### 3.4.5
|
|
366
|
+
|
|
367
|
+
- CI 和发布 workflow 增加 `audit:package`,要求 market-next 自身发布依赖树排除 peer runtime 后为 0 漏洞。
|
|
368
|
+
- 保留完整安装树的高危 audit 门禁,继续阻止 high / critical 漏洞进入发布。
|
|
369
|
+
- README 补充 Koishi peer runtime 中危的来源和边界,避免把上游运行时链路误判为 market-next 发布包本体漏洞。
|
|
370
|
+
|
|
371
|
+
### 3.4.4
|
|
372
|
+
|
|
373
|
+
- 安全审计:通过 npm override 将 `@koishijs/plugin-console` 链路中的 `uuid` 收敛到 `11.1.1` 以上。
|
|
374
|
+
- 完整 `npm audit` 从 14 个中危降到 13 个中危;高危与严重漏洞保持为 0。
|
|
375
|
+
- 剩余中危来自 Koishi / Cordis 的 `file-type` 上游链路,未使用会破坏兼容或降级 Console 的强制修复。
|
|
376
|
+
|
|
361
377
|
### 3.4.0
|
|
362
378
|
|
|
363
379
|
- 市场索引缓存增加 ETag、Last-Modified 和内容 hash 元信息。
|
package/package.json
CHANGED
|
@@ -1,7 +1,7 @@
|
|
|
1
1
|
{
|
|
2
2
|
"name": "koishi-plugin-market-next",
|
|
3
3
|
"description": "Manage your bots and plugins with console",
|
|
4
|
-
"version": "3.4.
|
|
4
|
+
"version": "3.4.5",
|
|
5
5
|
"homepage": "https://github.com/qinfeng365/koishi-plugin-market-next#readme",
|
|
6
6
|
"repository": {
|
|
7
7
|
"type": "git",
|
|
@@ -13,6 +13,8 @@
|
|
|
13
13
|
"main": "lib/node/index.js",
|
|
14
14
|
"types": "lib/index.d.ts",
|
|
15
15
|
"scripts": {
|
|
16
|
+
"audit:package": "npm audit --omit=peer",
|
|
17
|
+
"audit:high": "npm audit --audit-level=high",
|
|
16
18
|
"build": "tsc -p tsconfig.json && node build.mjs",
|
|
17
19
|
"build:dts": "tsc -p tsconfig.json",
|
|
18
20
|
"build:js": "node build.mjs"
|
|
@@ -107,6 +109,9 @@
|
|
|
107
109
|
"element-plus": "^2.14.1",
|
|
108
110
|
"vite": "^6.4.2"
|
|
109
111
|
},
|
|
112
|
+
"@koishijs/plugin-console": {
|
|
113
|
+
"uuid": "^11.1.1"
|
|
114
|
+
},
|
|
110
115
|
"@maikolib/vite-plugin-yaml": {
|
|
111
116
|
"js-yaml": "^4.2.0"
|
|
112
117
|
}
|