Node 2023 年度报告

咱们好，这里是咱们的林语冰。

Node TSC（技术指导委员会）核心团队同享了 2023 Node 发展的有用更新、团队如何保证 Node 的良好测验和可靠性、Node vendor 的依靠改变，以及 Node 安全性和 Web presence 的增强。

免责声明

本文属所以语冰的直男翻译了属所以，略有删改，仅供粉丝参阅。英文原味版请传送 Node.js 2023 Year in An Article。

2024 了，我决议总结 2023 年 Node 领域获得的成就。Node 正在迅速发展，关于普通用户而言，及时了解最新改变或许极具应战。因而，本文旨在要点重视 2023 年 Node 领域产生的严重改变和评论。

作为参阅，2023 年对 nodejs/node#main 提交了 2641 次。虽然这些信息或许看起来微不足道，但我发现比较历史数据很有趣。

举个栗子，这是过去 10 年中 Node main 主分支的提交计数。

Between Jan 1 2023 ~ Jan 1 2024 = 2641
Between Jan 1 2022 ~ Jan 1 2023 = 2629
Between Jan 1 2021 ~ Jan 1 2022 = 2683
Between Jan 1 2020 ~ Jan 1 2021 = 3390
Between Jan 1 2019 ~ Jan 1 2020 = 3953

看到像 Node 这样的成熟项目多年来不断获得显著进展，真是令人印象深刻。不幸的是，我没有历史数据，但我强烈置疑 Node 本年迎来了很多的首次贡献者。这或许是由于各种研讨会等相关举动所造成的。

举个栗子，NodeConfEU 2023 举办了“您的第一个 Node 贡献”研讨会。我信任其他成员也会继续协助该项意图新贡献者。

Node 发布情况

2023 年，不同版别系列一共发布了 102 个版别，包括安全版别。

本年年初有 4 个活泼的版别系列：

1. Node 14
2. Node 16
3. Node 18
4. Node 19

Node 14/16/19 现已停止生命周期，Node 18 处于保护模式，这意味着该版别不再有常规版别。

这一年最终发布了以下活泼版别：

1. Node 18（保护）
2. Node 20（LTS）
3. Node 21（当时）

因而，假如您没有在运用其中的某个版别，请及时晋级。

在都柏林 Node 合作者峰会（NodeConfEU）期间，咱们分析了 Node 二进制文件的下载统计数据，它证明了咱们的观念，即用户没有尽快更新其二进制文件。

如图所示，即便 EOL（生命周期结束）版别仍然会收到很多下载，这对 Node 用户而言如履薄冰，由于它们在某些时分会运用易受进犯的版别。

因而，咱们想到的一种假说是 —— 咱们的发布时刻表太快了。咱们正在评论一项新提案，这仍需求发布者团队进行评价，但它主张将 Node 主版别削减到每年 1 次，而不是每年 2 次。

当查看上图时，尤其是重视 y 轴时，咱们或许会推断 Node 下载量在 3 月 23 日到达了约 6_000 万的峰值。可是，这种解说具有误导性，由于它没有考虑 NodeSource 散布统计数据，而主要由生产二进制文件组成，不包括从非活动版别系列下载，比方 Node 8/10/12 等版别。

CITGM（Canary-In-The-Gold-Mine）的积极作业

@nodejs/releasers 在 Node 领域发挥着最关键的作用之一。它们保证咱们在核算机上收到的版别的可靠性。为了完成这一目标，咱们在一切支撑的架构中运用了一套全面的测验，并根据改变运转特定的测验，比方 V8。

此外，关于每个版别，咱们都会执行 CITGM，它本质上会恳求 lookup.json 中列出的一切模块，并运用新的二进制前景运转其测验套件。假如呈现任何问题，咱们会进行调查。

可是，CITGM 需求一组功用强大的机器才能正确运转一切测验。不幸的是，咱们在这方面有点有限，导致测验之间呈现一些并发错误。这是由于某些测验需求并行运转；不然，CITGM 将需求数年时刻才能完成。

另一个应战在于，保证 lookup.json 中列出的模块是最新的。有时，模块会被存档，或许或许永远不会支撑较新版别的 Node，或许它们或许根本不可靠，这早已习以为常。

因而，相似的举动屡见不鲜：

• 宣布 CITGM 模块破产
• 删除忽略的模块

不然，咱们或许会发现自己正在处理一个不可靠的 CITGM，从而使咱们对潜在的严重改变视而不见。

Node 项意图新方向

自 2022 年以来，Node 现在比以往任何时分都更简单遭到严重改变的影响。新式依靠正在被集成到 Node 内核中，而且新式内置模块正在开发中。这扩展了 Node 作为渠道的服务范围。

可是，在我看来，这种新方案或许会导致对保护和潜在进犯向量的忧虑。另一方面，它还为开发者供给了支撑，并降低了运用歹意库的风险，虽然在本机端执行操作会对功用产生影响。

下图仅供参阅，我一向在亲近监视各个版别的 Node 的二进制巨细，显而易见，新式依靠和功用的增加会直接影响二进制巨细。

除非咱们在异常受限的环境中运转，不然 100MiB 应该不会引起严重事故。

新式依靠

2023 年，Node 发布了 3 个新式依靠：

1. Ada：用现代 C++ 编写的契合 WHATWG 要求的快速 URL 解析器
2. simdutf：Unicode 例程（UTF8、UTF16、UTF32）解析器
3. simdjson：运用常用 SIMD 指令和微并行算法来有用解析 JSON 的库

一切这些库都要点重视功用，使 Node 能够到达全新的优化峰值。

OpenSSL 3.0.x 相关于 QUIC 的本钱

从 Node 16 开端，Node 运用来自 quictls 团队的 openssl 分支。这是将 QUIC 协议引入 Node 的第一步。可是，OpenSSL 版别 3.0.x 显着慢于 OpenSSL 3.2.x。从 Node 的角度来看，迁移到 OpenSSL 3.2.x 有两点比较困难：

1. OpenSSL 3.2.x 不完全支撑 QUIC，虽然 Node 没有供给 QUIC 支撑。
2. OpenSSL 3.2.x 不是 LTS（长时刻支撑）系列，关于 Node 中的 LTS 系列而言，在其生命周期结束后发布或许包括缝隙的版别完全达咩。

继续的功用进化

Node 在功用方面继续安稳发展。本节不会深入学习详细的数字数据，而是要点重视在功用领域已表现出显着前进的举动和拉取恳求。

一项显著优化是将 libuv 晋级到 1.45.0 版别。在此版别中，在 Linux 上启用了 IO_URING，从而使 read/write 等文件体系操作的吞吐量暴涨了 8 倍。

此外，咱们在 2023 年引入了 Ada 作为 Node 的新式 URL 解析器，Ada 现已在一切活泼版别系列 Node 18/20/21 中供给。

2023 年发现了 2 个重要的回归：

1. AsyncHooks
2. WebStreams

这些功用关于 Node 中的某些用例至关重要。举个栗子，假如咱们运用了 fetch()，那或许依靠了 WebStreams，或许假如咱们运用任何 App 功用监控东西，那么应该经过 AsyncLocalStorage 运用 AsyncHooks。

一项于 1 月份开端的方案已记录在案，这提出了一种不依靠 AsyncHooks 的 AsyncLocalStorage 替代完成，而 AsyncHooks 在当时被认为是一个功用瓶颈。

WebStreams 被确定为 2022 年 fetch 函数的功用瓶颈。从那时起，咱们一向经过多个 PR 不断增强其在 undici 中的运用。

Node 的原生基准测验模块

2023 年，Node 简直获得了内置的基准测验模块，Node 增加了一个试验性基准测验模块：require('node:benchmark')。

虽然这个拉取恳求得到了很大的重视，但由于某些原因咱们没有继续这项作业：

• 基准测验很难，微基准测验更难。它们很难评价，也很难证明其准确性，由于有不同的战略来衡量它们。
• 某些 Node 合作者同享了一些忧虑

可是，这并不意味着咱们放弃了！咱们已经在 npmjs 上将该模块发布为 bench-node。

增强 Node 安全性

安全性是我在 2023 年花费最多时刻的领域，全职致力于 Node 安全性的开发和改善。

Node 权限模型

Node 权限模型，这项方案由来已久，但没有准备就绪，已于 2022/2023 年重新施行。

从技术上讲，此试验性功用答应咱们约束对环境资源的拜访，比方：

• 文件体系（fs 模块）的读/写
• Inspector protocol（查看员协议）
• Worker threads（作业线程）
• Child process（子进程）
• Native add-ons（原生附加组件）

运用方案十分简单，运用 --experimental-permission 发动 Node 进程，并传递 --allow-* 标志。举个栗子，我想颁发对 App 入口点的只读拜访权限：

node --experimental-permission --allow-fs-read=./index.js index.js

因而，假如咱们测验从其他路径读取/写入，它应该抛出错误：

// index.js
const fs = require('fs')
const data = fs.readFileSync('/etc/passwd')
console.log(data.toString())
// 报错

处理更多安全版别

2023 年，咱们发布了更多安全版别，主要是由于咱们在第三方 CVE 方面愈加主动。2022 年，安全团队创建了多项方案，更新自动化和 Node 发布自动化等方案会影响咱们团队的采取举动的时刻。

跟着最近增加权限模型，咱们注意到咱们还发现了自 11.8.0 版别以来 Node 中存在的另一个试验性安全功用 —— policy mechanism（政策机制）。此功用契合咱们所说的：基于模块的权限，而且咱们在 2023 年修复了此功用中的多个缝隙。

虽然如此，在报告方面，咱们的要挟模型中还是做了一些弄清。权限模型和战略等试验性功用能够将严重性附加到与任何安稳功用相同的等级。因而，在查看 Node 安全版别时，请查看该缝隙是否会影响您。

Node 官网更新

2023 年，Node 社区评论要让 Node 网站焕然一新。咱们在 TSC 会议上评论过几回，还在 Node 协作峰会上同享了这个想法。

2023 新功用

2023 年发布了多项功用：

• 对 HTTP 和 WHATWG 规范进行了某些重要更新：
  • 咱们已将 fetch 安稳性移至：“安稳”。
  • finished() 是在可读流和可写流中完成的。
  • Duplex.from() 现在支撑 WebStream。
• 支撑 V8 Maglev 编译器
• 测验运转程序（安稳）
• 内置 .env 支撑（试验性）：这与 Node 20.6.0 一起发布，此功用旨在供给从配置文件读取环境变量的官方机制。以前依靠 dotenv 包或相似包是一种常见方案。在此版别之后，咱们能够直接在 Node 上运用它，而无需为此安装新的包。
• WebSocket 客户端（试验性）：Node 21.0.0 包括另一个试验性功用。此版别中呈现了内置 WebSocket 客户端，这经过标记启用： --experimental-websocket，并遵从 WHATWG WebSocket 规范。

本期话题是 —— Node 2023 你最喜欢那个新功用或优化？

欢迎在本文下方自由言论，文明同享。谢谢咱们的点赞，掰掰~

《前端猫猫教》每日 9 点半更新，坚持阅览，自律打卡，每天一次，前进一点。