Node.js 24 у 2026 році: URLPattern, модель дозволів та питання для співбесід

Node.js 24, кодова назва Krypton, отримав статус LTS у жовтні 2025 року і залишається рекомендованою версією для продакшену у 2026 році. Цей реліз стабілізує модель дозволів (Permission Model), робить URLPattern глобальним API, впроваджує явне управління ресурсами через V8 13.6 та оновлює npm до версії 11. Ці зміни безпосередньо впливають на те, як бекенд-застосунки працюють із безпекою, маршрутизацією та життєвим циклом ресурсів.

Модель дозволів: від експериментальної до готової для продакшену

Node.js 20 представив модель дозволів за прапорцем --experimental-permission. Node.js 24 прибирає префікс experimental. Прапорець тепер просто --permission, і середовище виконання обмежує доступ до файлової системи, мережі, дочірніх процесів, нативних модулів та змінних середовища, якщо це не дозволено явно.

Це має критичне значення для безпеки ланцюга постачання. Скомпрометована залежність не зможе вивести дані через мережу або прочитати довільні файли, якщо процес працює під --permission із вузькими дозволами.

# launch-secure.sh
# Run an API server with minimal permissions
node --permission \
  --allow-fs-read=/app/src,/app/config \
  --allow-fs-write=/app/uploads \
  --allow-net=0.0.0.0:3000 \
  server.js

Наведений процес може лише читати каталоги з вихідним кодом та конфігурацією, записувати у папку uploads і слухати порт 3000. Будь-яка спроба запустити дочірній процес, завантажити нативний модуль або отримати доступ до змінних середовища за межами дозволеного діапазону викликає помилку ERR_ACCESS_DENIED.

Перевірка дозволів під час виконання через process.permission

Метод process.permission.has() забезпечує інтроспекцію під час виконання. Код застосунку може перевіряти власні можливості перед спробою виконати обмежені операції.

// Verify permissions before performing restricted operations
function ensureWriteAccess(directory) {
  if (!process.permission.has('fs.write', directory)) {
    throw new Error(`No write permission for ${directory}`);
  }
}

function canSpawnProcesses() {
  return process.permission.has('child');
}

// Gracefully degrade when network access is restricted
function fetchWithFallback(url, cachedData) {
  if (!process.permission.has('net')) {
    console.warn('Network access denied, using cached data');
    return cachedData;
  }
  return fetch(url);
}

Цей патерн особливо корисний для бібліотек, які повинні працювати як в ізольованих, так і в необмежених середовищах. Березневий патч безпеки 2026 для Node.js 24.14.1 також виправив обхід перевірки дозволів у FileHandle.chmod() та FileHandle.chown(), що підкреслює важливість підтримки середовища виконання в актуальному стані.

Глобальний URLPattern: нативне зіставлення маршрутів без залежностей

Node.js 24 надає URLPattern у глобальній області видимості. Цей стандарт WHATWG забезпечує зіставлення шаблонів, подібне до регулярних виразів, спеціально розроблене для URL-адрес, з іменованими групами, необов'язковими сегментами та обмеженнями валідації.

Немає потреби в import чи require. API працює ідентично в браузерах, Cloudflare Workers та Deno, що робить його справді портативним примітивом маршрутизації.

// Framework-free HTTP router using global URLPattern
const routes = [
  {
    pattern: new URLPattern({ pathname: '/api/users/:userId' }),
    handler: handleGetUser
  },
  {
    pattern: new URLPattern({ pathname: '/api/users/:userId/posts/:postId' }),
    handler: handleGetPost
  },
  {
    // Optional segment: matches /api/products and /api/products/:category
    pattern: new URLPattern({ pathname: '/api/products{/:category}?' }),
    handler: handleProducts
  }
];

function matchRoute(url) {
  for (const route of routes) {
    const result = route.pattern.exec(url);
    if (result) {
      return { handler: route.handler, params: result.pathname.groups };
    }
  }
  return null;
}

// Usage with Node.js HTTP server
import { createServer } from 'node:http';

const server = createServer((req, res) => {
  const url = new URL(req.url, `http://${req.headers.host}`);
  const match = matchRoute(url.href);

  if (match) {
    match.handler(req, res, match.params);
  } else {
    res.writeHead(404).end('Not Found');
  }
});

server.listen(3000);

Валідація шаблонів та розширене зіставлення

URLPattern підтримує вбудовані обмеження регулярних виразів в іменованих групах, зіставлення протоколів та фільтрацію імен хостів. Метод test() повертає булеве значення для швидких перевірок без виділення об'єкта результату.

// Validate URL segments with inline regex constraints
const numericUser = new URLPattern({ pathname: '/users/:id([0-9]+)' });
numericUser.test('https://app.com/users/42');    // true
numericUser.test('https://app.com/users/alice'); // false

// Match by protocol and hostname
const secureApi = new URLPattern({
  protocol: 'https',
  hostname: 'api.example.com',
  pathname: '/v2/*'
});

// Service worker-style routing for static assets vs API calls
const staticAssets = new URLPattern({ pathname: '/static/*' });
const apiCalls = new URLPattern({ pathname: '/api/*' });

Щодо продуктивності, URLPattern не розрахований на конкуренцію з оптимізованими маршрутизаторами на кшталт find-my-way за показником чистої пропускної здатності. Його цінність полягає в портативності між середовищами виконання та стандартизованому API, що усуває помилки парсингу шляхів.

Явне управління ресурсами: using та await using

V8 13.6 у Node.js 24 реалізує пропозицію TC39 Explicit Resource Management. Оголошення using та await using замінюють блоки try/finally для детерміністичного очищення файлових дескрипторів, з'єднань із базами даних, блокувань та будь-яких об'єктів, що реалізують Symbol.dispose або Symbol.asyncDispose.

Починаючи з Node.js 24.2.0, Symbol.dispose та Symbol.asyncDispose більше не мають експериментального статусу.

// Automatic cleanup with using and await using
import { open } from 'node:fs/promises';

async function processCSV(path) {
  // File handle is automatically closed when scope exits
  await using file = await open(path, 'r');
  const content = await file.readFile({ encoding: 'utf8' });
  return content.split('\n').length;
  // file[Symbol.asyncDispose]() called here automatically
}

// Custom disposable resource
function createDatabasePool(connectionString) {
  const pool = new Pool(connectionString);
  return {
    pool,
    query: (sql, params) => pool.query(sql, params),
    [Symbol.asyncDispose]: async () => {
      await pool.end();
      console.log('Pool connections released');
    }
  };
}

async function runMigrations() {
  await using db = createDatabasePool(process.env.DB_URL);
  await db.query('CREATE TABLE IF NOT EXISTS migrations ...');
  // Pool automatically closed, no try/finally needed
}

DisposableStack для кількох ресурсів

DisposableStack та AsyncDisposableStack агрегують кілька одноразових ресурсів. Коли стек звільняється, ресурси вивільняються у зворотному порядку, коректно обробляючи ланцюжки залежностей.

// Manage multiple resources with AsyncDisposableStack
async function processTransaction() {
  await using stack = new AsyncDisposableStack();

  const connection = stack.use(await getConnection());
  const transaction = stack.use(await connection.beginTransaction());
  const tempFile = stack.use(await createTempFile());

  await transaction.execute('INSERT INTO orders ...');
  await tempFile.write('backup data');

  // On scope exit: tempFile closed, transaction committed/rolled back,
  // connection returned to pool (reverse order)
}

Цей патерн усуває цілий клас помилок, пов'язаних із витоками ресурсів. Тип SuppressedError обробляє граничний випадок, коли саме звільнення викликає виняток, зберігаючи як оригінальну помилку, так і помилку звільнення.

V8 13.6: функції JavaScript-рушія, які варто знати

Окрім явного управління ресурсами, V8 13.6 представляє кілька функцій, які з'являються на технічних співбесідах з Node.js.

RegExp.escape санітизує рядки для безпечного вбудовування у регулярні вирази:

// Safely embed user input in regular expressions
const userInput = 'price: $9.99 (USD)';
const escaped = RegExp.escape(userInput);
// escaped: 'price\:\ \$9\.99\ \(USD\)'
const pattern = new RegExp(escaped);

Float16Array додає 16-бітний типізований масив із плаваючою комою, зменшуючи використання пам'яті вдвічі порівняно з Float32Array для навантажень на кшталт ML-інференсу або підготовки буферів WebGL:

// Half-precision floating point for memory-sensitive workloads
const weights = new Float16Array([0.5, -1.25, 3.14]);
console.log(weights.byteLength); // 6 bytes instead of 12 with Float32Array

Error.isError забезпечує надійну перевірку типу, що працює між контекстами (iframes, vm, воркери):

// Cross-realm error detection
const err = new TypeError('invalid input');
Error.isError(err);           // true
Error.isError({ message: 'fake' }); // false

Покращення продуктивності AsyncLocalStorage

Node.js 24 за замовчуванням переключає AsyncLocalStorage на реалізацію AsyncContextFrame. Попередні версії використовували підхід на основі хуків, який додавав накладні витрати до кожної асинхронної операції. Нова реалізація інтегрується безпосередньо з чергою мікрозадач V8, зменшуючи вартість поширення контексту у застосунках із високою конкурентністю.

Ця зміна є прозорою для існуючого коду. Бібліотеки на кшталт OpenTelemetry та фреймворки логування, що покладаються на AsyncLocalStorage для контексту запиту, отримують вимірюване покращення пропускної здатності без змін коду.

// Request-scoped context with improved AsyncLocalStorage
import { AsyncLocalStorage } from 'node:async_hooks';

const requestContext = new AsyncLocalStorage();

function handleRequest(req, res) {
  const context = {
    requestId: crypto.randomUUID(),
    startTime: performance.now()
  };

  requestContext.run(context, async () => {
    // Context automatically propagated through all async operations
    const data = await fetchUserData(req.userId);
    const elapsed = performance.now() - requestContext.getStore().startTime;
    logger.info(`Request ${requestContext.getStore().requestId} completed in ${elapsed}ms`);
    res.json(data);
  });
}

Питання для співбесід: видання Node.js 24

Ці питання відображають функції та патерни, на які звертають увагу інтерв'юери у 2026 році. Кожна відповідь демонструє розуміння на рівні продакшену, а не поверхневі знання.

П1: Чим модель дозволів Node.js відрізняється від пісочниці на рівні ОС?

Модель дозволів працює на рівні середовища виконання Node.js, а не ядра ОС. Вона обмежує доступ до вбудованих API Node.js (fs, net, child_process) на основі прапорців CLI. Пісочниця на рівні ОС (контейнери, seccomp, AppArmor) працює нижче середовища виконання й обмежує системні виклики. Модель дозволів доповнює пісочницю ОС, забезпечуючи гранулярність на рівні застосунку. Ключове обмеження: вона не поширюється на нативні модулі, які обходять API Node.js, а існуючі файлові дескриптори, відкриті до перевірки дозволів, залишаються доступними.

П2: Коли URLPattern був би поганим вибором порівняно зі спеціалізованим маршрутизатором?

URLPattern не підтримує middleware, маршрутизацію за методами (GET vs POST) та гарантії порядку маршрутів. Він виконує лінійне зіставлення під час ітерації по масиву шаблонів, тоді як маршрутизатори на кшталт find-my-way використовують radix-дерева для пошуку за O(log n). URLPattern підходить для спільної логіки валідації клієнт-сервер, обробників fetch у service worker та прототипів. Продакшен HTTP API з сотнями маршрутів виграють від спеціалізованого маршрутизатора.

П3: Поясніть різницю між using та await using. Коли доречний кожен із них?

using викликає [Symbol.dispose]() синхронно при виході з блоку. Він працює для таких ресурсів, як м'ютекси, файлові дескриптори, керовані синхронними C++ модулями, або кеші в пам'яті. await using викликає [Symbol.asyncDispose]() та очікує результат, що необхідно для з'єднань із базами даних, HTTP-сесій або будь-якого очищення, що включає асинхронний I/O. Використання синхронного using для асинхронного ресурсу мовчки пропускає очищення.

П4: Як AsyncContextFrame покращує продуктивність AsyncLocalStorage?

Попередні реалізації використовували async-хуки (init, before, after, destroy) для поширення контексту, додаючи накладні витрати до кожного розв'язання Promise та зворотного виклику таймера. AsyncContextFrame зберігає контекст безпосередньо у внутрішньому ланцюжку промісів V8, усуваючи накладні витрати хуків. Покращення найбільш помітне у навантаженнях із високою інтенсивністю Promise, як-от HTTP-сервери, що обробляють тисячі одночасних запитів із трасуванням на рівні запиту.

П5: Які обмеження безпеки має модель дозволів?

П'ять критичних обмежень: (1) Символічні посилання можуть виходити за межі дозволених шляхів. (2) Нативні модулі повністю обходять перевірку дозволів. (3) Файлові дескриптори, успадковані від батьківського процесу або відкриті до ініціалізації --permission, не обмежуються. (4) Прапорці --env-file та --openssl-config зчитують файли до ініціалізації моделі дозволів. (5) Дозволи воркерів є незалежними і мають конфігуруватися окремо. Березнева CVE-виправлення 2026 для FileHandle.chmod()/FileHandle.chown() продемонструвала, що нові API повинні постійно перевірятися на предмет дотримання дозволів.

Висновок

• Шлях оновлення: Node.js 24 LTS (Krypton) є рекомендованою продакшен-версією до квітня 2028 року. Прапорець --permission не потребує змін у коді, лише конфігурації розгортання
• URLPattern усуває легковагі залежності маршрутизації для кросплатформного коду. Спеціалізовані маршрутизатори слід залишати для високонавантажених HTTP API зі складними ланцюжками middleware
• using/await using замінюють try/finally для управління життєвим циклом ресурсів. Розпочати варто з додавання [Symbol.asyncDispose] до обгорток пулів баз даних та утиліт для роботи з файлами
• Покращення продуктивності AsyncLocalStorage є автоматичним. Перевірка здійснюється через бенчмаркінг логування та трасування на рівні запиту під навантаженням
• Підготовка до співбесід повинна охоплювати обмеження моделі дозволів (символічні посилання, нативні модулі, успадковані файлові дескриптори), компроміси URLPattern порівняно з radix-маршрутизаторами та розрізнення між синхронним і асинхронним звільненням ресурсів
• Практика реалізації власних одноразових ресурсів та перевірок дозволів під час виконання дозволяє продемонструвати практичне знання функцій Node.js 24 під час бекенд-співбесід