Dev Digest — сентябрь 2025

Node.js v25 запланирован на 15 октября 2025 года (крайний срок коммитов 2025‑09‑15). Команды должны запускать CI против нового мажора, проверять нативные модули и готовить канареечные деплои.

WebAssembly 3.0 завершён (17 сентября 2025 года): 64-битное адресное пространство, несколько памяти, сборка мусора на стороне хоста, встроенные функции строк JS и SpecTec для верифицируемой спецификации — это шаг вперёд для компиляции языков высокого уровня и серверного Wasm.

NixOS 25.05 (Warbler) вышел с ядрами Linux 6.12 LTS/6.14, GNOME 48, LLVM 19/GCC 14, обновлением более 7,000 пакетов и экспериментальной переработкой nixos-rebuild-ng — что это означает для воспроизводимых сборок и CI.

Microsoft опубликовала превью TypeScript Native: компилятор/языковой сервис на основе Go (tsgo), который обеспечивает ~10× ускорение проверки типов и загрузки редактора на больших кодовых базах — попробуйте превью, но протестируйте на поведенческие отличия.

Visual Studio 2026 Insiders от Microsoft (сентябрь 2025 года) предлагает широкий спектр функций с приоритетом на ИИ — адаптивная вставка, чат с использованием собственных моделей, агент профилировщика Copilot, шаблоны BenchmarkDotNet и улучшенное профилирование CMake/C++ — меняя подход к производительности, отладке и составлению кода внутри IDE.

Prisma представит свой компилятор запросов — перемещение выполнения запросов из бинарного файла Rust в компилятор запросов на TypeScript и адаптеры драйверов — на GA в сентябре 2025 года, устранив нативные бинарные файлы движка запросов и упростив серверные, edge и сборочные рабочие процессы.

Git 2.51 (выпущен 18 августа 2025 года) закладывает прочный фундамент для Git 3.0, подготавливая SHA‑256 в качестве алгоритма хеширования по умолчанию и reftable в качестве бэкенда ссылок по умолчанию, одновременно предоставляя улучшения MIDX, упаковки и stash, которые существенно влияют на большие репозитории, CI и инструменты.

HubSpot объявила о консолидации платформы разработчика (3 сентября 2025 года) — унифицированные проекты разработчиков, инструменты агента для агентов Breeze, более богатые расширения UI, улучшения CI/CD и локальной разработки, а также инструменты миграции CLI для партнеров и разработчиков приложений.

Android потребует подтвержденные идентичности разработчиков для приложений, установленных на сертифицированных устройствах (включая установленные вручную и приложения из сторонних магазинов); ранний доступ в октябре 2025 года, регистрация открывается в марте 2026 года, региональное применение начинается в сентябре 2026 года.

Вредоносный пакет npm, выдающий себя за бинарный файл esbuild (esbuild-linux-arm32), был выявлен в августе 2025 года; проверьте lock-файлы, удалите неожиданные пакеты esbuild-* и измените секреты, если они есть.

Microsoft объявила, что Azure Functions Proxies не будет поддерживаться после 2025‑09‑30; команды, все еще использующие Proxies, должны немедленно провести инвентаризацию и мигрировать на поддерживаемую API-платформу (APIM, Front Door или легкий обратный прокси).

GCC 15 (в частности 15.1 с исправлениями ошибок 15.2) поставляется с C23 по умолчанию, более сильной поддержкой диагностики/SARIF, инкрементальной LTO, улучшенной выгрузкой OpenMP и многими изменениями качества жизни для C/C++/инструментов — обновите CI и зафиксируйте языковые режимы перед обновлением.

Google выпустил обновление безопасности (17–18 сентября 2025 года), которое исправляет CVE‑2025‑10585 — уязвимость нулевого дня типа путаницы в V8, эксплуатируемую в дикой природе — а также три других уязвимости браузерного движка высокой степени серьезности. Немедленно обновите Chrome и любые образы CI/headless браузеров.

npm теперь поддерживает Доверенную публикацию через OpenID Connect (OIDC) в CI/CD: уберите долгоживущие токены npm из рабочих процессов, ограничьте публикации конкретными конвейерами и уменьшите риск утечки учетных данных автоматизации.

PostgreSQL 18 Release Candidate 1 выпущен (4 сентября 2025 года); он вводит асинхронную подсистему ввода-вывода (io_uring на Linux), виртуальные сгенерированные столбцы по умолчанию, uuidv7, поддержку аутентификации OAuth, более полные данные EXPLAIN, контрольные суммы данных, включенные для новых кластеров, и новый протокол передачи данных (3.2). GA запланировано на 25 сентября 2025 года.

8 сентября 2025 года учетная запись поддерживающего разработчика была скомпрометирована, и были опубликованы вредоносные версии широко используемых пакетов npm (chalk, debug, ansi‑styles и др.); вредоносный код нацелен на API кошельков браузера и может тихо изменять адреса назначения крипто-транзакций.

OpenSSL 3.5 (LTS) добавляет поддержку QUIC на стороне сервера, алгоритмы PQC (ML-KEM, ML-DSA, SLH-DSA), непрозрачные ключи EVP_SKEY и новую конфигурируемость TLS — практический путь обновления для серверов, прокси и сред выполнения, которые зависят от OpenSSL.

26 августа 2025 года злоумышленники опубликовали вредоносные пакеты Nx в npm, используя инъекцию рабочего процесса GitHub Actions и украденный токен публикации NPM; пакеты запускали постинсталляционные хуки, которые сканировали системы и эксфильтровали данные с помощью локальных AI CLI.

Apple опубликовала бета-версию iOS 26 / iPadOS 26 / macOS 26 бета 9 вместе с Xcode 26 бета 7 (2 сентября 2025 года). Мобильные и CI команды должны проверить приложения и обновить образы сборок перед публичным релизом.

Firefox 141 (стабильная версия) поставляет API WebGPU на Windows, делая высокопроизводительные вычисления и рендеринг GPU широко доступными для веб-разработчиков.

Новая статья представляет NodeShield, систему принудительного соблюдения в реальном времени, которая использует SBOM, дополненные возможностями по зависимостям (CBOM), чтобы предотвратить злоупотребления в цепочке поставок в Node.js с эффективностью ~98% и накладными расходами <1 мс.

Java 25 (Oracle JDK 25) доступен (16 сентября 2025 года): 18 JEP, которые упрощают Java для скриптов, расширяют сопоставление шаблонов для примитивов, продвигают структурированный параллелизм и область видимости значений, добавляют эргономику/профилирование AOT, улучшают API векторов и готовность к постквантовой криптографии — Oracle предлагает расширенную поддержку и интеграции производительности OCI.

Canonical нацеливается на upstream Linux 6.17 для Ubuntu 25.10 и предупреждает, что дистрибутив может поставляться с ядром-кандидатом на выпуск, если стабильное upstream ядро не будет завершено до заморозки дистрибутива.

Умеренное переполнение целого числа в расширении FTS5 SQLite может привести к записи за пределами допустимого диапазона из поддельных файлов БД или запросов злоумышленника; исправление выпущено, пакеты дистрибутивов обновляются — разработчики должны исправить или пересобрать.

Go 1.25 (выпущен 12 августа 2025 года) приносит вывод отладки DWARF5, исправление указателя nil, соответствующее спецификации, которое может привести к панике в ранее безошибочных программах, экспериментальную реализацию jsonv2 для значительно более быстрого декодирования, новые инструменты для тестирования и проверки, а также несколько значений по умолчанию для сборки/выполнения, которые влияют на CI и отладку.

Kubernetes v1.34 переводит Динамическое распределение ресурсов в GA и добавляет проецируемые токены ServiceAccount kubelet для извлечения изображений, а также запросы ресурсов на уровне пода — немедленные последствия для рабочих нагрузок GPU/ускорителей, безопасности извлечения изображений и автоматического масштабирования.

Rust 1.90 (стабильная версия, ожидается 18 сентября 2025 года) делает LLD стандартным компоновщиком для x86_64-unknown-linux-gnu — значительное сокращение времени компоновки для сборок Linux; включены шаги по отказу и смягчению.

Edge теперь предлагает предварительные версии API Подсказок и Помощи в Написании, которые позволяют веб-приложениям вызывать локальную модель Phi‑4‑mini для генерации, суммирования и структурированных выводов — функции LLM с низкой задержкой и приватностью внутри браузера.

Docker Engine v25 изменяет поведение ulimit BuildKit в systemd, добавляет трассировку OpenTelemetry, поддержку устройств CDI и другие функции сборки/выполнения, которые могут повлиять на CI и контейнерные сборки.