Bun 1.3.6: 原生 JSONC、归档 API、esbuild 元文件 — 全栈团队现在应该做什么

Summary

• 在2026年1月13日，Bun 1.3.6 发布了一系列实用的工具和运行时功能（原生 JSONC 解析、内置 tar 归档 API、与 esbuild 兼容的元文件输出），以及多个性能和兼容性修复。这些功能对于将 Bun 用作运行时、打包器或 CI 构建器的团队立即相关，因为它们减少了第三方依赖，改善了与 esbuild 的打包分析一致性，并弥补了微妙的安全和兼容性差距。（bun.com）

What changed (high impact)

• Bun.JSONC：支持带注释的 JSON 的原生解析（tsconfig.json，VS Code 设置）。影响：您可以删除小型 JSONC 解析依赖，并在运行时可靠且更快地解析配置。
• Bun.Archive：内置 API 用于创建/提取 tar(.gz) 归档。影响：减少了打包和可重现单文件构建工件所需的外部工具；提高了打包任务的性能。
• Bun.build 元文件：添加了与 esbuild 兼容的元文件选项。影响：您可以从 Bun 构建中生成 meta.json，并在不需要自定义适配器的情况下重用现有的打包分析工具（squoosh、bundlephobia 风格检查）。
• Response.json 和 JSON 序列化性能：Response.json() 与手动 JSON.stringify + Response 的一致性；其他 SIMD 加速的改进减少了高吞吐量服务中的序列化和缓冲操作成本。
• WebSocket 代理 & S3 请求者付费：修复了 Bun 的 S3 客户端中企业代理环境和请求者付费 S3 访问的问题。
• 安全性/兼容性修复：在 tar 提取过程中进行路径遍历检查，以及影响边缘部署和单文件可执行文件的多个打包器/构建错误修复。

Why this matters for full‑stack teams

• 更少的运行时依赖：原生 JSONC 和归档 API 减少了配置/打包管道的攻击面和依赖维护。
• 更好的 CI 和打包工具一致性：esbuild 元文件使 Bun 构建与现有分析管道（CI 大小门、自动化块检查）兼容。
• 更快的服务器响应和构建步骤：序列化和缓冲的加速可以显著降低 I/O 密集型服务的延迟和 CI 运行时。
• 企业就绪性：WebSocket 和请求者付费处理的代理支持弥补了在企业或云受限环境中运行时之前需要自定义解决方法的差距。
• 安全性：tar 提取的加固防止了供应链/打包错误的常见攻击向量。

Actionable checklist (concrete, low‑risk rollout)

1. 在功能分支中评估
   • 在您的 CI 镜像（docker 镜像或虚拟机）的分支中升级到 Bun 1.3.6，运行完整的测试套件和冒烟测试。测量构建时间和关键基准（打包构建、服务器启动、API 延迟）。
2. 有意替换小型依赖
   • 在您当前使用第三方 JSONC 解析器解析 tsconfig.json / .vscode 设置的地方，使用 Bun.JSONC.parse() 进行有针对性的替换测试，并确认行为一致（注释、尾随逗号、顺序）。
3. 将元文件输出添加到构建中
   • 在 bun.build/bun build 中启用元文件（metafile: true 或 --metafile），并将生成的 JSON 输入到您现有的打包分析器或 CI 大小门中。验证块映射和大小归属是否符合预期。
4. 测试归档流程和安全提取
   • 如果您在构建/发布管道中生成或消费 tar 包，请切换到 Bun.Archive 进行创建/提取，并运行提取路径遍历测试（尝试符号链接逃逸、绝对路径）以确认 Bun 拒绝不安全的情况。
5. 验证 WebSocket + 代理场景
   • 如果您在具有企业 HTTP/HTTPS 代理的环境中操作，请验证 Bun 的 WebSocket 代理选项，适用于 wss/ws 和经过身份验证的代理。
6. 审核本地模块和单文件可执行文件
   • 如果您使用嵌入的 .node 插件或单文件可执行文件，请运行完整的集成测试——发布说明中指出加载有所改善，但也修复了以前的边缘情况。
7. 性能和监控
   • 在预发布环境中基准测试 Response.json() 和重型 JSON 路径。添加可观察性标志（构建持续时间、序列化延迟）以确保捕获回归。
8. 部署策略
   • 对小比例的流量或 CI 代理进行 Canary 部署，持续 48–72 小时；监控错误、冷启动和打包分析报告；然后推广。

Risks and caveats

• 并非所有人都能直接使用：如果您的堆栈依赖于非常特定的 esbuild 特性或本地插件行为，请彻底测试；元文件一致性有助于分析，但不保证加载器语义完全相同。
• 本地依赖和 N-API：单文件可执行文件和嵌入的 .node 行为有所改善，但本地模块仍需在 Linux、macOS 和 Windows 构建中仔细测试。
• 安全态势：tar 提取修复是安全加固——将其视为积极因素，但审核现有归档，以防它们依赖于之前宽松的行为。

Bottom line Bun 1.3.6 是一个实用、低摩擦的版本，适合将 Bun 用作运行时或构建器的团队：利用新的 JSONC 和元文件功能简化配置，并将 Bun 构建集成到现有的 CI/分析中，测试归档和代理改进，并在监控序列化和打包指标的同时进行 Canary 部署。该版本减少了依赖面，并改善了与 esbuild 的可观察性一致性——是本季度受控采用的良好候选者。（bun.com）

Source

• Bun v1.3.6 发布说明（Bun 博客）。 (bun.com)

Source

• Source