Новости Node.js за лето 2025 года

среда, 13 августа 2025 г.

Лето 2025 года оказалось насыщенным для экосистемы Node.js, с несколькими важными обновлениями, ориентированными на безопасность, производительность и новые функции. Разработчики Node.js продолжили работу над текущей версией v24, которая остается в статусе "Current" до октября 2025 года, когда перейдет в долгосрочную поддержку (LTS). Давайте разберем ключевые события июня, июля и августа.

Июнь: Обновления зависимостей и мелкие улучшения

В начале лета фокус был на обновлении зависимостей и внутренних компонентов. Среди заметных изменений:

• Обновление библиотеки timezone до версии 2025b для актуализации часовых поясов.
• Апдейт simdutf до 5.4.2, улучшающий обработку Unicode.
• ICU (International Components for Unicode) обновлена до 77.1, что повышает поддержку интернационализации.
• Corepack, менеджер пакетов, обновлен до 0.32.0.

Эти обновления были интегрированы в репозиторий Node.js и помогли стабилизировать платформу перед более значимыми релизами. Хотя в июне не было крупных версионных выпусков, эти изменения заложили основу для последующих улучшений.

Июль: Выпуск v24.4.0 и критические обновления безопасности

Июль стал пиком активности. 9 июля вышла версия Node.js v24.4.0 (Current), которая принесла ряд новых функций и обновлений зависимостей:

• Криптография: Добавлена опция `outputLength` для функций XOF в модуле `crypto`, что позволяет точнее контролировать длину вывода.
• Файловая система: Введена disposable версия `mkdtempSync` для создания временных директорий с автоматической очисткой.
• Разрешения: Расширена модель разрешений с поддержкой флагов на спавн-процессах и проверкой `permission.has(addon)` для аддонов.
• SQLite: Добавлена опция `readBigInts` на уровне соединения с базой данных для работы с большими целыми числами.
• Режим наблюдения (watch mode): Новый флаг `--watch-kill-signal` для управления сигналами завершения.
• Обновления зависимостей: V8 с cherry-pick'ами для производительности, SQLite до 3.50.2, Undici до 7.11.0, а также фикс для SHAKE128/256 в OpenSSL 3.4.

Эта версия также включила фиксы безопасности и документации, делая ее рекомендуемой для разработчиков, работающих с новыми функциями.

15 июля Node.js выпустила обновления безопасности для активных линий (v24.x, v22.x, v20.x). Они адресовали две уязвимости высокой критичности:

• CVE-2025-27210 (High): Обход защиты от обхода путей (path traversal) на Windows для специальных имен устройств (CON, PRN, AUX) в `path.normalize()`. Это неполный фикс предыдущей CVE-2025-23084, затрагивающий пользователей `path.join` на Windows.
• CVE-2025-27209 (High): Уязвимость HashDoS в V8 для v24.x, позволяющая генерировать коллизии хешей в строках без знания seed.

Рекомендуется немедленно обновиться до патченных версий, особенно для production-систем. Конец поддержки для EOL-версий подчеркивает важность миграции на актуальные релизы.

31 июля, по некоторым источникам, вышел дополнительный патч, связанный с этими уязвимостями, но официальных деталей мало.

Август: Стабилизация и подготовка к LTS

К 13 августа (текущей дате) не было объявлено о новых крупных релизах. Команда фокусируется на стабилизации v24 перед переходом в Active LTS в октябре 2025 года. Обновления поддержки для v24 продлятся до апреля 2028 года, с акцентом на критические фиксы. Разработчикам рекомендуется тестировать приложения на текущих версиях, чтобы избежать проблем с будущими деприкейшенами.

В целом, лето 2025 года укрепило позиции Node.js как надежной платформы для серверного JavaScript. Обновления безопасности и новые функции подчеркивают приверженность сообщества к стабильности и инновациям. Следите за официальным блогом Node.js за дальнейшими анонсами!

Александр

Fullstack-разработчик в Москве

Профессиональная разработка веб-приложений на Node.js с использованием современных frontend и backend фреймворков. Создание, продвижение, поддержка и обслуживание сайтов. Эффективно, прибыльно.