На этой неделе в мире React снова было неспокойно. Сообщество только начинало приходить в себя после недавней уязвимости с удалённым выполнением кода, как появились два новых бага, затрагивающих React Server Components и Server Actions. Разработчики массово обновляют проекты, чтобы закрыть дыры в безопасности, а обсуждение архитектуры RSC вспыхнуло с новой силой.
При этом для мобильного стека новости чуть менее тревожные: React Native почти не затронут текущими проблемами, поскольку серверные компоненты там пока не используются повсеместно. Тем не менее это громкий сигнал: тестирование и аудит безопасности должны стать обязательной частью процесса разработки, а не разовой акцией после громких инцидентов.
Авторы дайджеста берут заслуженный рождественский перерыв до середины января, подводя своеобразную черту под годом: React-экосистема становится мощнее, но и уровень ответственности растёт. Обновления выходят чаще, связность инструментов увеличивается, а цена ошибки — особенно в части безопасности — становится куда выше.
---
Новые уязвимости в React 19: DoS и утечка исходников
На этой неделе были публично описаны два новых CVE, связанных с React Server Components и Server Actions — обе проблемы затрагивают проекты, работающие с протоколом React Flight:
1. CVE-2025-55184 — отказ в обслуживании (DoS)
Суть уязвимости в том, что злоумышленник может отправить на сервер специально сформированный payload с циклическими ссылками внутри данных RSC. При разборе такого ответа React попадает в бесконечный цикл сериализации и десериализации, перегружает процесс и в итоге «кладёт» сервер по таймауту. Это не даёт атакующему выполнить произвольный код, но позволяет относительно дёшево и массово вызывать сбои в работе сервиса.
2. CVE-2025-55183 — утечка исходного кода
Вторая проблема связана с недостаточной валидацией пользовательского ввода в контексте RSC и Server Actions. При определённой конфигурации возможно добиться того, что сервер вернёт части исходного кода реализации, которые никогда не должны были попасть наружу. Для многих продуктов это не только репутационный риск, но и реальный вектор для последующих атак, поскольку исходники позволяют глубже понять внутреннюю архитектуру.
Обе уязвимости считаются менее критичными, чем недавний баг с удалённым выполнением кода, но игнорировать их нельзя. Рекомендуется оперативно обновить React 19 до исправленных версий и внимательно проверить конфигурацию серверных компонентов.
---
Патчи и обновления экосистемы
Поддерживающие команды сработали довольно оперативно. Уже доступны следующие релизы с исправлениями:
- React 19.2.3 — патч, закрывающий выявленные проблемы в ядре;
- Next.js 16.0.10 — обновление фреймворка, адаптирующееся к изменениям в React и закрывающее RSC-уязвимости на уровне сервера;
- SWR 2.3.8 — свежая версия библиотеки для работы с данными от Vercel, синхронизированная с исправлениями в React.
Если ваш проект использует React Server Components, Server Actions, Next.js 16 или связанные серверные решения, стоит:
- проверить текущие версии зависимостей;
- обновить ядро React и фреймворк;
- перезапустить пайплайн тестирования (юнит, интеграционные и e2e-тесты);
- внимательно отнестись к логам сервера после деплоя, чтобы отследить возможные регрессии.
---
Как безопасно обновлять крупные React‑проекты
На фоне участившихся уязвимостей становится актуальным вопрос: как обновляться так, чтобы не сорвать работу продукта?
Несколько практических рекомендаций:
- Вводите staged‑обновления. Сначала обновляйте React и Next.js в тестовых окружениях и на canary-ветках, где часть трафика идёт через новую версию.
- Добавьте регрессионное тестирование UI и API. У RSC сложная модель исполнения, и многие баги проявляются только на стыке клиента и сервера.
- Логируйте ошибки сериализации и рендеринга. Если что-то ломается в цепочке React Flight, вы должны увидеть это до того, как пользователи столкнутся с падениями.
- Проводите периодический security review. Даже если у вас нет выделенного безопасника, заведите чек-лист для аудита конфигурации серверных компонентов, валидации входных данных и политик доступа.
---
React Server Components Explorer: заглядываем «под капот» RSC
Интерес к тому, как именно работает протокол React Flight и серверные компоненты, резко вырос. На этом фоне особенно своевременно появился React Server Components Explorer, над которым работает Дэн Абрамов.
Это интерактивный инструмент, который:
- показывает, как выглядит wire‑формат RSC «на проводе»;
- помогает понять, какие данные и в каком виде отправляются между сервером и клиентом;
- даёт возможность поэкспериментировать с различными сценариями и проще выстроить ментальную модель работы серверных компонентов.
Для разработчиков, внедряющих RSC в продакшн, это фактически визуальный отладчик протокола. Он упрощает обучение команды, снижает риск ошибок в архитектуре и помогает понять, где могут возникать узкие места или потенциальные проблемы с безопасностью.
---
Что значит новая волна уязвимостей для будущего RSC
Серия найденных багов в RSC — не повод отказываться от серверных компонентов, но хороший индикатор зрелости технологии:
- RSC становятся достаточно популярными, чтобы оказаться в фокусе исследователей безопасности.
- Реализация протокола сложна, а значит период активного «обкаточного» hardening'а ещё продолжается.
- Командам, которые рассматривают RSC, стоит относиться к ним как к мощному, но всё ещё относительно новому инструменту: использовать, но с закладкой времени на эксперименты, тестирование и постепенную интеграцию.
В долгосрочной перспективе такие инциденты обычно делают технологию только крепче: после каждого публичного CVE ядро и смежные библиотеки становятся более устойчивыми.
---
Base UI 1.0: новый игрок в мире «headless»‑компонентов
Пока часть сообщества разбирается с серверной стороной React, на фронтенде произошло важное событие: Base UI 1.0 достиг стабильного релиза. Это библиотека «голых» (unstyled) примитивов, созданная командой, стоящей за Radix UI, Floating UI и MUI.
Ключевые особенности Base UI:
- Чистые примитивы без стилей. Библиотека даёт структуру и поведение, но не навязывает внешний вид — вся визуальная часть остаётся за вами.
- Сосредоточенность на доступности. Как и Radix UI, Base UI учитывает ARIA‑атрибуты, управление с клавиатуры и сценарии использования вспомогательных технологий.
- Гибкость интеграции. Примитивы легко оборачиваются в дизайн-системы, где над ними уже выстраивается единый визуальный язык.
Важный маркер доверия — все компоненты shadcn/ui уже переехали на Base UI как на базу. Это говорит о том, что в экосистеме headless‑решений появился ещё один серьёзный столп, наряду с Radix UI и React Aria.
---
Как выбрать headless‑библиотеку: Base UI, Radix UI, React Aria
Если вы строите собственную дизайн-систему, выбор «фундамента» принципиален:
- Radix UI подойдёт тем, кто хочет получить богатый набор готовых паттернов (меню, дропдауны, диалоги) с проверенными UX‑решениями и высокой доступностью «из коробки».
- React Aria ближе к уровню низкоуровневых хуков: максимальная гибкость, но придётся больше собирать руками.
- Base UI позиционируется как аккуратный набор примитивов, который хорошо стыкуется с современными подходами к стилизации (CSS-in-JS, utility‑first, CSS Modules, Tailwind).
Переезд shadcn/ui на Base UI показывает, что всё больше разработчиков выбирают разделение: поведение — в одной библиотеке, внешний вид и токены — в другой.
---
React Native в VR: когда ваше приложение становится «плавающим» окном
VR‑платформы заставляют React Native‑разработчиков пересмотреть привычную картину мира. Если раньше вы проектировали интерфейс под фиксированные размеры экрана мобильных устройств, то в VR:
- окно приложения может свободно перемещаться в пространстве;
- пользователи меняют масштаб, угол обзора и дистанцию;
- привычные паттерны прокрутки, тапов и свайпов трансформируются в жесты, контроллеры и взгляд.
В своём материале Ян Яворский из Callstack показывает, как перенести мобильные UX‑модели в VR‑среду, не сломав пользователям опыт:
- где традиционные паттерны (навигация, модальные окна, списки) по‑прежнему работают хорошо;
- где требуется переосмысление типографики, чтобы текст читался в трёхмерном пространстве;
- как адаптировать отступы и плотность контента, чтобы не перегружать пользователя в шлеме;
- почему вопросы доступности в VR выходят на новый уровень (усталость глаз, вестибулярная нагрузка, читаемость).
---
Стратегия для тех, кто смотрит в сторону VR и Meta Quest
Если вы планируете выходить в VR с помощью React Native:
- Начните с маленького прототипа, а не с полного переноса приложения.
- Тестируйте интерфейс на реальных устройствах, а не только в симуляторах — ощущения сильно различаются.
- Продумайте новую навигационную модель: привычные вкладки и «буттом бары» в трёхмерном мире могут выглядеть странно.
- Обратите внимание на перформанс: VR куда чувствительнее к лагам, фризам и задержкам реакции интерфейса.
VR сейчас в стадии активного роста, и разработчики, которые научатся грамотно адаптировать React Native под новые форм‑факторы, получат серьёзное конкурентное преимущество.
---
Опрос «State of React Native»: вектор развития на следующий год
Возвращается опрос State of React Native — ежегодное исследование, которое позволяет понять, как развивается экосистема мобильного React.
В этот раз анкету упростили, чтобы избежать пересечений с более общим опросом по React, и сфокусировались именно на:
- используемых навигационных решениях и их болевых точках;
- популярных стейтоменеджерах и подходах к архитектуре;
- предпочтениях по анимациям, нативным модулям и интеграции с платформами;
- ожиданиях от core‑команды и maintainers крупных библиотек.
Ответы помогают авторам фреймворка и библиотек понять, куда инвестировать силы в следующем году: что стоит стабилизировать, что переписать, а что, возможно, вывести в отдельные пакеты.
---
Почему участие в опросах действительно важно
Для рядового разработчика опрос может казаться формальностью, но на практике:
- результаты часто становятся аргументами при планировании roadmap у авторов фреймворков;
- малопопулярные, но болезненные проблемы получают шанс оказаться в фокусе;
- бизнес‑команды видят, какие технологии набирают критическую массу, и принимают стратегические решения.
Если вам не всё равно, как будет выглядеть React Native через один‑два года, несколько минут на заполнение анкеты — реальный вклад в будущее стека, которым вы пользуетесь каждый день.
---
Впереди — новый год и новый цикл развития React‑экосистемы. Мы наблюдаем одновременно усиление серверных технологий (RSC, Server Actions), рост headless‑подхода к UI (Base UI, shadcn/ui), расширение горизонтов React Native в сторону VR и консолидацию вокруг опросов состояния стека. Всё это вместе формирует довольно чёткий тренд: инструменты становятся мощнее, ответственность разработчиков — выше, а успех команд зависит от того, насколько быстро и осознанно они умеют адаптироваться к изменениям.
