本月初 npm 包被索引数已超过百万大关：

• 上周包下载量 109 亿
• 上月包下载量 469 亿

越来越多的问题需要关注在安全依赖上。

npm 联合加密币安全平台 komodo挫败试图盗取加密币(Agama)的企图。

此次攻击是老套的 npm 包更新攻击：

• 攻击者先发布一个无害的 npm 包 electron-native-notify
• Agama 的钱包项目依赖了此包
• 攻击者更新 npm 包，加入危害代码
• 如果 Agama 钱包更新此包，则会引入危害代码

• 通过--http-server-default-timeout=milliseconds 或--http-server-default-timeout=0 分别更改或禁用超时。

• 添加了一个实验--heap-prof 标志，用于 在启动时启动 V8 堆分析器，并在退出之前将堆配置文件写入磁盘

Puppeteer Recorder 是Chrome扩展程序，可记录你的浏览器交互并生成Puppeteer脚本。

three.js + expressjs + websocket

例如获得请求ip的地理信息:

GET https://api.ipgeolocationapi.com/geolocate HTTP/1.1

在上周的一份新闻稿中，W3C 和 WHATWG 宣布，他们终于把他们的分歧放在一边，并签署了一份新的谅解备忘录。

根据这份新协议，W3C 正式发布未来的 HTML 和 DOM 标准，并支持 WHATWG，将控制权完全交还给浏览器厂商。

W3C 及其数百名成员将起草未来的 Web 标准需要包含什么特性的“建议”。然后，WHATWG 将决定把哪些加入到他们的产品中。

画布低延迟上下文

略过某些步骤直接显示 buffer 到显示控制器。

const opts = { desynchronized: true };
const ctx = canvas.getContext('2d', opts);

文件共享到其他 app

支持音频，视频，文本，图片。

示例

CockroachDB 数据库更改了许可证

修改的许可证中最主要的一段话是“CockroachDB 用户可以自由部署任意多的数据服务节点，可以直接用 CockroachDB，或者嵌入他们自己的应用程序里。也能在公司内部作为服务运行。唯一不能做的事情是：在不付授权费的情况下提供 CockroachDB 作为商业服务”。

起因是看到 Amazon AWS 在利用各种开源项目自由软件（例如 ElasticSearch）部署到自己的云服务上，来对客户收费，而相应的自由软件的作者却没有得到任何收益。

2d,3d,各种类型游戏。

对于开发者和高级用户来说，macOS Catalina 还有一个重大的变化 —— zsh 已取代 bash 成为新版操作系统中的默认 shell 。

默认情况下，在 macOS Catalina 中所有新创建的用户帐号都将使用 zsh。当然，为了帮助用户顺利过渡，bash 并不会立即从 macOS Catalina 中消失，但苹果表示用户应该开始转向使用 zsh，以尽快习惯这一变化，因为 bash 最后可能还是会被移除。

苹果没有解释做出这一决定的原因，但猜测与 GPLv3 开源协议有关。尽管苹果已经获得基于 GPLv2 许可协议的 bash 3.2 版本，但新版的 bash 采用了 GPLv3 协议。

zsh 需要一堆配置，难道还要配合oh-my-zsh