Dev Digest — 九月 2025

Node.js v25 定于 2025 年 10 月 15 日发布（提交截止日期 2025‑09‑15）。团队应针对新主要版本运行 CI，验证本地模块，并准备金丝雀部署。

WebAssembly 3.0 完成（2025年9月17日）：64位地址空间、多内存、主机垃圾回收、JS 字符串内置和用于可验证规范的 SpecTec — 这是编译高级语言和服务器端 Wasm 的一个重大变革。

NixOS 25.05（Warbler）发布，包含 Linux 6.12 LTS/6.14 内核，GNOME 48，LLVM 19/GCC 14，7000+ 包的更新，以及实验性的 nixos-rebuild-ng 重写 — 这对可重现构建和 CI 的意义。

微软发布了 TypeScript 原生预览版：一个基于 Go 的编译器/语言服务（tsgo），在大型代码库上提供约 10 倍的类型检查和编辑器加载速度提升——尝试预览版，但请测试行为差异。

微软的 Visual Studio 2026 内部预览版（2025 年 9 月发布）推出了广泛的 AI 优先功能——自适应粘贴、带你自己的模型聊天、性能分析 Copilot 代理、BenchmarkDotNet 模板以及改进的 CMake/C++ 性能分析——改变了 IDE 内部的性能、调试和代码构建方式。

Prisma 将在 2025 年 9 月正式发布其查询编译器——将查询执行从 Rust 二进制文件迁移到 TypeScript 查询编译器和驱动适配器，消除本地查询引擎二进制文件，并启用更简单的无服务器、边缘和打包工作流。

Git 2.51（于2025年8月18日发布）为Git 3.0奠定了坚实的基础，通过将SHA‑256作为默认哈希和将reftable作为新仓库的默认引用后端，同时提供了对大型仓库、CI和工具有实质性影响的MIDX、打包和暂存改进。

HubSpot宣布推出一个整合的开发者平台（2025年9月3日）——统一的开发者项目、针对Breeze代理的代理工具、更丰富的UI扩展、CI/CD和本地开发改进，以及为合作伙伴和应用构建者提供的CLI迁移工具。

Android将要求对在认证设备上安装的应用（包括侧载和第三方商店应用）进行验证的开发者身份；2025年10月开始早期访问，2026年3月开放注册，2026年9月开始区域性执行。

一个冒充 esbuild 二进制文件 (esbuild-linux-arm32) 的恶意 npm 包在 2025 年 8 月被标记；检查锁定文件，移除意外的 esbuild-* 包，并在有的情况下更换密钥。

Azure宣布Azure Functions Proxies将在2025‑09‑30后不再支持；仍在使用Proxies的团队必须立即清点并迁移到受支持的API接口（APIM、Front Door或轻量级反向代理）。

GCC 15（特别是 15.1 和 15.2 的 bug 修复跟进）将 C23 作为默认，提供更强的诊断/SARIF 支持，增量 LTO，改进的 OpenMP 卸载以及许多 C/C++/工具的质量提升变化——在升级之前更新 CI 并固定语言模式。

谷歌发布了一个安全更新（2025年9月17日至18日），修复了 CVE‑2025‑10585——一个在野外被利用的 V8 类型混淆零日漏洞——以及其他三个高严重性浏览器引擎漏洞。请立即更新 Chrome 和任何 CI/无头浏览器镜像。

npm 现在通过 OpenID Connect (OIDC) 在 CI/CD 中支持可信发布：从工作流中移除长期有效的 npm 令牌，将发布限制在特定管道中，并减少泄露自动化凭证的风险。

PostgreSQL 18 版本候选 1 已发布（2025 年 9 月 4 日）；它引入了一个异步 I/O 子系统（Linux 上的 io_uring）、默认的虚拟生成列、uuidv7、OAuth 认证支持、更丰富的 EXPLAIN 数据、新集群启用数据校验和，以及一个新的网络协议（3.2）。GA 计划于 2025 年 9 月 25 日发布。

在 2025 年 9 月 8 日，一个维护者账户被钓鱼，恶意版本的广泛使用的 npm 软件包（chalk、debug、ansi‑styles 等）被发布；该有效载荷针对浏览器钱包 API，并可能静默重写加密交易目的地。

OpenSSL 3.5 (LTS) 增加了服务器端 QUIC、PQC 算法（ML‑KEM、ML‑DSA、SLH‑DSA）、EVP_SKEY 不透明密钥和新的 TLS 配置能力——为依赖 OpenSSL 的服务器、代理和运行时提供了实用的升级路径。

2025年8月26日，攻击者通过利用 GitHub Actions 工作流注入和窃取 NPM 发布令牌，在 npm 上发布了恶意 Nx 包；这些包运行了 postinstall 钩子，扫描系统并使用本地 AI CLI 提取数据。

苹果发布了 iOS 26 / iPadOS 26 / macOS 26 beta 9 以及 Xcode 26 beta 7（2025年9月2日）。移动和 CI 团队应在公开发布窗口之前验证应用并更新构建镜像。

Firefox 141（稳定版）在 Windows 上发布了 WebGPU API，使高性能 GPU 计算和渲染广泛可用于 Web 开发者。

一篇新论文介绍了 NodeShield，这是一种运行时强制执行系统，使用扩展了每个依赖项能力的 SBOM（CBOM）来防止 Node.js 中的供应链滥用，效果约为 98%，开销小于 1 毫秒。

Java 25 (Oracle JDK 25) 已发布（2025年9月16日）：18个 JEP 提案简化了 Java 脚本编写，扩展了对原始类型的模式匹配，推进了结构化并发和作用域值，增加了 AOT 人体工程学/方法分析，改进了向量 API，并具备后量子密码学的准备 — Oracle 提供了扩展支持和 OCI 性能集成。

Canonical 将上游 Linux 6.17 作为 Ubuntu 25.10 的目标，并警告如果稳定的上游内核在发行版冻结之前未完成，可能会搭载发布候选内核。

SQLite 的 FTS5 扩展中的一个中等整数溢出漏洞可能导致来自精心制作的数据库文件或攻击者查询的越界写入；上游已修复，发行版包正在滚动更新 — 开发者必须打补丁或重建。

Go 1.25（于 2025 年 8 月 12 日发布）带来了 DWARF5 调试输出、一个符合规范的 nil 指针修复，这可能导致之前静默的程序崩溃、一个用于更快解码的实验性 jsonv2 实现、新的测试和 vet 工具，以及一些影响 CI 和调试的构建/运行默认设置。

Kubernetes v1.34 将动态资源分配（DRA）提升至正式版，并为图像拉取添加了 kubelet 投影的 ServiceAccount 令牌以及 Pod 级资源请求——对 GPU/加速器工作负载、图像拉取安全性和自动扩展的直接影响。

Rust 1.90（稳定版，预计于 2025 年 9 月 18 日发布）使 LLD 成为 x86_64-unknown-linux-gnu 的默认链接器——为 Linux 构建带来了显著的链接时间减少；包括选择退出和缓解步骤。

Edge 现在提供开发者预览的提示和写作辅助 API，允许网页应用调用设备上的 Phi-4-mini 模型进行生成、摘要和结构化输出——在浏览器内实现低延迟、私密的 LLM 功能。

Docker Engine v25 更改了 BuildKit 的 systemd ulimit 行为，增加了 OpenTelemetry 跟踪、CDI 设备支持以及其他可能影响 CI 和容器化构建的构建/运行时功能。