● brew-browser：用 Tauri 2 + Svelte 5 打造的 Homebrew 图形界面

📌 一句话摘要 一个使用 Tauri 2 和 Svelte 5 构建的轻量 macOS 原生应用，为 Homebrew 包管理器提供图形界面。 📝 详细摘要 该推文介绍了一个名为 brew-browser 的开源 macOS 应用。它使用 Tauri 2 和 Svelte 5 构建，为命令行包管

● 【早说】依赖冷却期，是在让你搭别人的便车

📌 一句话摘要 本文批判了依赖冷却期作为供应链安全最佳实践，指出其本质是搭便车行为，并提出了更优的替代方案：在中央包索引层面实施上传队列，将发布与分发解耦。 📝 详细摘要 文章针对近期被广泛推崇的「依赖冷却期」供应链安全实践提出了尖锐批评。作者认为，依赖冷却期（即新版本发布后等待数天再升级）本质

● Node 中文周刊 #223 - 又一个包管理器！aube

📌 一句话摘要 本期 Node 中文周刊汇总了 aube 包管理器、TypeScript 7.0 Beta、.NET Native AOT 编写 Node 原生插件等多项技术热点与工具更新。 📝 详细摘要 本文是 Node 中文周刊第 223 期，精选了近期 Node.js 生态中的多个重要动态

● 最低发布时限：最简单却最有效的供应链防线

📌 一句话摘要 本文通过复盘 8 年来 21 起供应链安全事件，论证了在包管理器中设置 7 天最低发布时限这一简单配置，能有效拦截过半的恶意包攻击，并提供了主流工具的具体配置方法。 📝 详细摘要 文章以 2026 年 axios 被投毒事件为引，指出一个简单的配置——要求包管理器拒绝安装发布时间

● 包管理器需要冷却机制

📌 一句话摘要 Simon Willison 强调，包管理器中广泛采用的依赖“冷却”功能是防御供应链攻击的重要手段。 📝 详细摘要 受 LiteLLM 供应链攻击事件的触发，Simon Willison 重温了依赖“冷却”的概念——即推迟几天更新软件包，以便社区能够发现潜在的篡改行为。本文全面概