Endo项目1.12.0版本发布:JavaScript安全执行环境的重要更新
项目简介
Endo是一个专注于提供安全JavaScript执行环境的开源项目,其核心组件ses(安全ECMAScript)为JavaScript代码提供了强大的隔离和沙箱能力。通过Endo,开发者可以创建相互隔离的JavaScript执行环境(称为Compartments),在这些环境中运行不受信任的代码而不会影响主应用程序的安全性。
主要更新内容
1. evalTaming选项命名规范化
在本次1.12.0版本中,evalTaming选项的取值进行了规范化重命名:
- 从
'safeEval'改为'safe-eval' - 从
'unsafeEval'改为'unsafe-eval' - 从
'noEval'改为'no-eval'
这一变更是为了遵循kebob-case(短横线连接)的命名约定,取代原有的camelCase(驼峰式)命名。为了保持向后兼容性,旧名称目前仍可使用,但已被标记为废弃,建议开发者尽快迁移到新命名格式。
2. 非词法名称解析行为变更
在隔离环境中,对非词法名称(即未在当前作用域声明且不在全局对象上的变量)的解析行为发生了变化。在之前的版本中,这种情况会抛出ReferenceError,而现在会返回undefined。
这一变更是为了解决技术实现上的限制:在不暴露宿主globalThis属性的情况下,无法完美模拟原生JavaScript引擎(如XS)的行为。虽然这与原生Hardened JavaScript实现的行为有所差异,但在安全性和实用性之间取得了更好的平衡。
3. @endo/patterns新增容器匹配模式
@endo/patterns模块新增了M.containerHas模式匹配功能,主要用于支持Zoe中的want模式。该功能允许从容器中提取特定数量的匹配元素:
M.containerHas(elementPatt, bound = 1n)
其中bound参数必须是一个正的大整数(BigInt),表示要提取的匹配元素数量。同时新增的containerHasSplit函数则专门支持ERTP中对非可替代资产(set, copySet)和半可替代资产(copyBag)的操作。
4. @endo/import-bundle支持测试格式
@endo/import-bundle模块现在支持test格式的bundle。这种格式的bundle会返回一个Promise,解析为一个类似模块导出命名空间的对象,其特殊符号属性@exports包含了指定的导出对象。这种设计有意避免了JSON序列化和传递的可能性。
此外,新增了typedImportBundle<ExpectedExportsNamespace>函数,提供了比any更精确的类型签名,同时不影响现有代码的使用。
5. @endo/bundle-source重大重构
4.0.0版本对nestedEvaluate和getExport格式的实现进行了彻底重构,改用Endo的Compartment Mapper替代Rollup作为底层实现。这一变化带来了以下改进:
- 消除了Rollup与底层Babel生成器之间源映射(source map)转换的协调问题
- 虽然不再生成源映射,但Babel确保了原始源代码与打包后代码之间的行号和列号保持不变
- 提升了构建性能和可靠性
6. @endo/compartment-mapper功能增强
1.6.0版本带来了多项重要改进:
-
CommonJS兼容性增强:现在能够正确处理在
exports上使用defineProperty的CommonJS模块。 -
打包功能重构:
- 将
makeBundle拆分为makeScript和makeFunctor makeScript生成适合网页<script>标签的JavaScript字符串makeFunctor生成可部分应用的函数,允许运行时提供选项
- 将
-
新增选项支持:
- 新增
format、useEvaluate和sourceUrlPrefix选项 - 支持
"cjs"格式,允许bundle使用主机的CommonJSrequire加载主机模块
- 新增
-
调试信息增强:
- 在由
mapNodeModules生成的compartment描述符中添加sourceDirname - 改进生成的bundle中的源URL注释,便于调试
- 在由
-
日志功能:新增
log选项,允许自定义日志函数(目前仅mapNodeModules支持)
7. @endo/evasive-transform改进
1.4.0版本主要改进了源映射处理:
- 新增
sourceMap选项,使生成的源映射能够直接映射回原始源代码 - 移除了未使用的
unmapLoc功能,简化了API
技术意义与影响
本次Endo项目的更新在多个层面上提升了JavaScript安全执行环境的能力和开发体验:
-
API规范化:通过统一命名约定,提高了代码的一致性和可维护性。
-
安全性增强:对非词法名称解析行为的调整,在保持安全性的同时提高了实用性。
-
模式匹配能力扩展:新增的容器匹配模式为资产操作提供了更强大的工具,特别是在DeFi等需要精确控制资产流动的场景中。
-
构建系统现代化:Compartment Mapper对Rollup的替代,标志着Endo构建系统向更专业、更可靠的方向发展。
-
调试体验提升:改进的源映射和日志支持,使得在复杂的安全环境中调试代码变得更加容易。
这些更新共同推动了Endo项目作为JavaScript安全执行环境解决方案的成熟度,为构建更安全、更可靠的JavaScript应用提供了坚实基础。
Kimi-K2.5Kimi K2.5 是一款开源的原生多模态智能体模型,它在 Kimi-K2-Base 的基础上,通过对约 15 万亿混合视觉和文本 tokens 进行持续预训练构建而成。该模型将视觉与语言理解、高级智能体能力、即时模式与思考模式,以及对话式与智能体范式无缝融合。Python00- QQwen3-Coder-Next2026年2月4日,正式发布的Qwen3-Coder-Next,一款专为编码智能体和本地开发场景设计的开源语言模型。Python00
xw-cli实现国产算力大模型零门槛部署,一键跑通 Qwen、GLM-4.7、Minimax-2.1、DeepSeek-OCR 等模型Go06
PaddleOCR-VL-1.5PaddleOCR-VL-1.5 是 PaddleOCR-VL 的新一代进阶模型,在 OmniDocBench v1.5 上实现了 94.5% 的全新 state-of-the-art 准确率。 为了严格评估模型在真实物理畸变下的鲁棒性——包括扫描伪影、倾斜、扭曲、屏幕拍摄和光照变化——我们提出了 Real5-OmniDocBench 基准测试集。实验结果表明,该增强模型在新构建的基准测试集上达到了 SOTA 性能。此外,我们通过整合印章识别和文本检测识别(text spotting)任务扩展了模型的能力,同时保持 0.9B 的超紧凑 VLM 规模,具备高效率特性。Python00
KuiklyUI基于KMP技术的高性能、全平台开发框架,具备统一代码库、极致易用性和动态灵活性。 Provide a high-performance, full-platform development framework with unified codebase, ultimate ease of use, and dynamic flexibility. 注意:本仓库为Github仓库镜像,PR或Issue请移步至Github发起,感谢支持!Kotlin08
VLOOKVLOOK™ 是优雅好用的 Typora/Markdown 主题包和增强插件。 VLOOK™ is an elegant and practical THEME PACKAGE × ENHANCEMENT PLUGIN for Typora/Markdown.Less00
项目优选
kernel
docs
kernel
ops-math
pytorch
flutter_flutter
nop-entropy
agent-studio
Cangjie-Examples
ohos_react_native