最新

NPM已经困扰我一段时间，要求我更新我的“可写的细粒度令牌”，并给我提供了一个链接：https://github.blog/changelog/2025-09-29-strengthening-npm-security-important-changes-to-authentication-and-token-management。 坦白说，那份文件完全是沟通失败。它是用极其专业的术语写成的，普通人根本无法理解这份文件想要传达什么，或者该如何应对，甚至不知道自己是否需要采取任何行动。 他们还贴心地指向NPM文档，显然这些文档已经更新以反映最新的变化，但他们提供的链接实际上是https://docs.npmjs.com，这个链接——毫不意外——直接带你到NPM文档的首页。那个页面上有两个相同的主题列表，包括“关于npm”、“入门”、“包和模块”、“集成”、“组织”、“政策”、“威胁与缓解”、“npm CLI”，但显然没有任何与政策变化和“细粒度可写令牌”相关的内容。 我完全迷失了。我该如何测试是否需要进行更改？如果我需要更改，哪些数据会受到影响？我需要使用什么工具，可以使用网址还是应该使用npm（或pnpm）CLI工具？未来我需要做些什么？我是否需要每30天都进行一次这样的程序？如果我错过了某个日期，会有什么后果，我能否以某种方式恢复？ 这些简单、明显且重要的问题显然在我被引导点击的页面中没有得到任何解答。现在我只知道我必须担心细粒度可写令牌。

我一直讨厌 .env 文件给人一种过时的感觉。明文存储，容易泄露，一旦进入 git 历史……就麻烦大了。在意外提交了太多次秘密后，我终于问自己：为什么我们不把秘密像密码一样加密呢？ 于是我构建了 better-env：一种本地加密的方式来管理秘密，而不必在你的机器上到处暴露明文。所有秘密集中在一个地方，git 中没有敏感信息，秘密在运行时直接加载，按项目管理。 这个工具还处于早期阶段，优先考虑本地使用，虽然还有些粗糙，但它已经为我的工作流程消除了一个完整的压力类别。我希望能得到反馈，看看这个工具是否对独立开发者以外的人也有用，以及你们希望在团队/持续集成设置中看到什么。 它也是开源的！ （[https://github.com/HarishChandran3304/better-env](https://github.com/HarishChandran3304/better-env)）