Bun 1.3 正式发布

2025年10月10日，高性能 JavaScript 运行时 Bun 发布了 1.3 版本。这是 Bun 项目迄今为止最重大的版本更新，标志着 Bun 从单纯的运行时工具演变为一个功能完备的全栈 JavaScript 开发平台。

从运行时到全栈平台的跨越

Bun 1.3 的核心突破在于将前端开发能力深度整合进运行时。据官方介绍，此次更新新增了对前端开发的一级支持，开发者现在可以直接运行 HTML 文件，无需额外配置即可启动一个功能完整的开发服务器。

bun ./**/*.html

执行上述命令后，Bun 会自动识别项目中的 HTML 文件并启动开发服务器，包括热模块替换（HMR）、React Fast Refresh 等现代前端开发必备功能。这种「开箱即用」的设计理念贯穿整个 1.3 版本。

值得注意的是，Bun 的开发服务器并非简单的静态文件服务器，而是集成了原生的 JavaScript、CSS 和 HTML 转译与打包能力。这意味着开发者可以在同一个进程中同时处理前后端代码，从根本上解决了传统开发中前后端端口分离导致的 CORS 跨域问题。

内置数据库客户端：性能与便利的平衡

数据库访问是后端开发的核心需求。Bun 1.3 将内置数据库支持从单一的 PostgreSQL 扩展到 MySQL、MariaDB 和 SQLite，并提供了统一的 Bun.SQL API。这一设计大幅降低了项目的依赖复杂度，同时带来显著的性能提升。

import { sql, SQL } from "bun";

// 使用统一 API 连接不同数据库
const postgres = new SQL("postgres://localhost/mydb");
const mysql = new SQL("mysql://localhost/mydb");
const sqlite = new SQL("sqlite://data.db");

// 自动从环境变量读取连接信息
const seniorAge = 65;
const seniorUsers = await sql`
  SELECT name, age FROM users
  WHERE age >= ${seniorAge}
`;

虽然现有的 npm 包如 postgres 和 mysql2 在 Bun 中已有不错的性能表现，但原生实现带来的优势不容小觑。官方数据显示，内置客户端在某些场景下性能提升可达数倍。

新版本还新增了 Redis 客户端支持，官方基准测试显示其性能是流行的 ioredis 库的 7.9 倍以上。对于需要缓存和消息队列的应用场景，这一改进意义重大。

路由系统：简化全栈应用架构

Bun 1.3 为 Bun.serve() 引入了内置路由系统，支持参数化路由和通配符，让开发者能够在同一服务中优雅地处理前端页面和后端 API。

import { serve, sql } from "bun";
import App from "./myReactSPA.html";

serve({
  port: 3000,
  routes: {
    "/*": App,
    
    "/api/users": {
      GET: async () => Response.json(await sql`SELECT * FROM users LIMIT 10`),
      POST: async (req) => {
        const { name, email } = await req.json();
        const [user] = await sql`
          INSERT INTO users ${sql({ name, email })}
          RETURNING *;
        `;
        return Response.json(user);
      },
    },
    
    "/api/users/:id": async (req) => {
      const { id } = req.params;
      const [user] = await sql`SELECT * FROM users WHERE id = ${id} LIMIT 1`;
      if (!user) return new Response("User not found", { status: 404 });
      return Response.json(user);
    },
  },
});

这种设计让全栈应用的部署变得极为简单。更令人印象深刻的是，Bun 的打包器现在支持将前后端代码打包成单一的可执行文件:

bun build --compile ./index.html --outfile myapp

生成的可执行文件可以在任何地方运行，无需安装 Node.js 或其他依赖，这对于微服务部署和边缘计算场景具有重要价值。

Cookie 管理：告别第三方库

Web 应用中的 Cookie 处理一直是个痛点。开发者要么选择单一功能的 tough-cookie 库，要么被迫引入 Express、Elysia 等完整框架。Bun 1.3 提供了原生的 Cookie API，采用类似 Map 的接口设计:

import { serve, randomUUIDv7 } from "bun";

serve({
  routes: {
    "/api/users/sign-in": (request) => {
      request.cookies.set("sessionId", randomUUIDv7(), {
        httpOnly: true,
        sameSite: "strict",
      });
      return new Response("Signed in");
    },
    "/api/users/sign-out": (request) => {
      request.cookies.delete("sessionId");
      return new Response("Signed out");
    },
  },
});

这个 API 的巧妙之处在于零性能开销的延迟解析——只有在实际访问 request.cookies 时才会解析请求头中的 Cookie，避免了不必要的计算。

包管理器的重大革新

Bun 的包管理器在 1.3 版本中获得了多项企业级特性。其中最值得关注的是隔离安装模式成为工作空间的默认行为。这一改变解决了大型 monorepo 项目中最常见的问题之一：包的幽灵依赖（phantom dependencies）。

在传统的提升安装模式下，所有依赖都平铺在根目录的 node_modules 中，包可能意外访问到未在 package.json 中声明的依赖。隔离模式确保每个包只能访问其明确声明的依赖，提高了构建的可预测性和可靠性。

依赖目录 (Catalogs) 功能为 monorepo 中的版本管理提供了优雅的解决方案:

{
  "name": "monorepo",
  "workspaces": ["packages/*"],
  "catalog": {
    "react": "^18.0.0",
    "typescript": "^5.0.0"
  }
}

工作空间包可以通过 "react": "catalog:" 引用目录中的版本，实现集中式版本管理。这一设计借鉴了 pnpm 的成功经验，但整合得更加自然。

新增的安全扫描 API 让企业能够在安装阶段拦截恶意包。Bun 团队与 Socket 安全公司合作，推出了官方安全扫描器 @socketsecurity/bun-security-scanner。开发者也可以基于公开的 API 编写自定义扫描器，满足特定的安全合规需求。

[install.security]
scanner = "@socketsecurity/bun-security-scanner"

最小发布时间限制功能则提供了对供应链攻击的防护:

[install]
minimumReleaseAge = 604800  # 7天

这项配置要求包必须发布至少指定时间后才允许安装，给社区留出时间识别潜在的恶意包。

交互式更新命令 bun update --interactive 让依赖升级变得可控:

bun update --interactive

开发者可以逐个选择要更新的包，而不是一次性升级所有依赖，从而更好地控制潜在的破坏性变更。

测试框架的成熟化

Bun 的测试运行器在 1.3 版本中获得了与 VS Code Test Explorer 的深度集成。开发者可以直接在编辑器侧边栏查看测试列表，一键运行或调试单个测试，内联查看错误信息。这种开发体验与 Jest + VS Code Jest 扩展相当，但得益于 Bun 的性能优势，测试执行速度更快。

并发测试支持的加入让 I/O 密集型测试套件的运行时间大幅缩短：

import { test } from "bun:test";

test.concurrent("fetch user 1", async () => {
  const res = await fetch("https://api.example.com/users/1");
  expect(res.status).toBe(200);
});

describe.concurrent("server tests", () => {
  test("sends a request to server 1", async () => {
    const response = await fetch("https://example.com/server-1");
    expect(response.status).toBe(200);
  });
});

默认情况下，最多 20 个测试会并发运行，这个数字可以通过 --max-concurrency 标志调整。对于需要保持串行执行的测试，可以使用 test.serial 修饰符。

类型测试功能 expectTypeOf() 的引入是另一个亮点。开发者现在可以在单元测试中直接验证 TypeScript 类型:

import { expectTypeOf, test } from "bun:test";

test("types are correct", () => {
  expectTypeOf<string>().toEqualTypeOf<string>();
  expectTypeOf({ foo: 1 }).toHaveProperty("foo");
  expectTypeOf<Promise<number>>().resolves.toBeNumber();
});

这些类型断言可以通过 bunx tsc --noEmit 在 CI 流程中验证，将类型安全检查提升到了新的高度。

Node.js 兼容性的持续推进

Bun 1.3 在每次提交时运行 Node.js 测试套件中额外的 800 个测试用例。官方数据显示，N-API 测试通过率已达 98% 以上，timers 模块通过率达到 98.4%。

对 node:vm 模块的全面支持是本次更新的重要成果。这个模块常用于代码沙箱、插件系统等高级场景，其实现难度较大。Bun 1.3 不仅支持基础的 vm.Script，还实现了 vm.SourceTextModule、vm.SyntheticModule 等高级 API，并支持字节码缓存以提升编译性能。

import vm from "node:vm";

const script = new vm.Script('console.log("Hello from VM")');
script.runInThisContext();

node:test 模块的初步支持让使用 Node.js 原生测试框架的项目能够在 Bun 上运行，这对于生态系统的兼容性意义重大。

加密性能的提升令人瞩目。DiffieHellman 和 Cipheriv/Decipheriv 的速度提升了约 400 倍，scrypt 提升了 6 倍。这些改进通过将关键路径用原生 C++ 重写实现，大幅降低了密码学操作的开销。

Web 标准与现代 API

Bun 1.3 新增了对多项 Web 标准的支持。YAML 原生支持让配置文件处理变得简单：

import { YAML } from "bun";

const obj = YAML.parse("key: value");
const yaml = YAML.stringify({ key: "value" }, 0, 2);

// 直接导入 YAML 文件
import config from "./config.yaml";

官方实现的 YAML 解析器目前通过了官方测试套件的 90% 用例，性能表现优异。

WebSocket 压缩功能的自动协商是另一个实用特性。当连接支持 permessage-deflate 时，Bun 会自动启用压缩，对于 JSON 等结构化数据，压缩率可达 60-80%，显著减少带宽消耗。

Zstandard 压缩的全面支持包括 fetch() 的自动解压和手动压缩 API：

import { zstdCompress, zstdDecompress } from "bun";

const compressed = await zstdCompress("Hello, world!");
const decompressed = await zstdDecompress(compressed);

DisposableStack 和 AsyncDisposableStack 的实现体现了 Bun 对 TC39 提案的快速跟进。这些 API 与 using 和 await using 声明配合，提供了优雅的资源管理机制。

性能优化：细节见真章

Bun 1.3 的性能优化遍布各个层面。空闲 CPU 占用的降低源于对垃圾回收调度的优化，在没有进行中的请求时，Bun.serve 的计时器不再活跃。JavaScript 内存占用降低 10-30% (Next.js 应用降低 28%，Elysia 降低 11%) 归功于更智能的 GC 计时器调度。

I/O 线程池的优化让 macOS 上的 Bun.build 快了 60%。Express 性能提升 9%，Fastify 提升 5.4%，这些改进来自对 node:http 模块的持续优化。

postMessage 的性能提升尤为惊人——字符串传递快了 500 倍，简单对象快了 240 倍。这通过避免对安全共享的字符串进行序列化实现，同时减少了约 22 倍的峰值内存使用。

// 在 Worker 间传递大型 JSON 字符串现在快了 500 倍
const response = await fetch("https://api.example.com/data");
const json = await response.text();
postMessage(json);

启动时间减少了 1ms，内存占用减少了 3MB，这些看似微小的优化累积起来，对用户体验产生显著影响。

开发者体验的精心打磨

Bun 1.3 在开发者体验上的改进同样值得称道。TypeScript 默认配置改为 "module": "Preserve"，保留模块语法的原始形态，更符合 Bun 作为原生 ES 模块运行时的定位。

console.log() 的深度控制让调试大型对象变得可控:

bun --console-depth=5 ./app.ts

[console]
depth = 5

BUN_OPTIONS 环境变量提供了设置默认 CLI 参数的便捷方式：

export BUN_OPTIONS="--watch --hot"
bun run ./app.ts
# 等同于: bun --watch --hot run ./app.ts

bunx --package 标志让运行二进制文件与包名不一致的包变得简单：

bunx --package=@typescript-eslint/parser eslint ./src

新增的 bun why 命令清晰地展示依赖链，解答「为什么这个包会出现在我的项目中」：

bun why tailwindcss

这些看似细小的改进，体现了 Bun 团队对开发者日常工作流程的深刻理解。

打包器与构建系统的增强

Bun 的打包器在 1.3 版本中获得了跨平台编译能力。开发者现在可以在任何平台上为 Windows、macOS 和 Linux 构建可执行文件：

bun build --compile --target=linux-x64 ./app.ts --outfile myapp-linux
bun build --compile --target=darwin-arm64 ./app.ts --outfile myapp-macos
bun build --compile --target=windows-x64 ./app.ts --outfile myapp.exe

Windows 可执行文件元数据的支持让企业应用的打包更加专业：

bun build --compile --target=windows-x64 \\
  --title="My App" \\
  --publisher="My Company" \\
  --version="1.0.0" \\
  ./app.ts

代码签名支持（Windows 的 Authenticode 和 macOS 的 codesign）确保了发布的可执行文件可以通过操作系统的安全验证。

压缩器变得更加智能，能够移除未使用的函数和类名，优化 new Object()、new Array() 等表达式，消除无用的 try...catch...finally 块。这些优化让生产构建的体积进一步缩小。

安全性的持续关注

Bun 1.3 引入了 Bun.secrets API，利用操作系统的原生凭据存储（macOS 的 Keychain、Linux 的 libsecret、Windows 的 Credential Manager）：

import { secrets } from "bun";

await secrets.set({
  service: "my-app",
  name: "api-key",
  value: "secret-value",
});

const key = await secrets.get({
  service: "my-app",
  name: "api-key",
});

凭据在静态时被加密，与环境变量分离存储，提供了更高的安全保障。

Bun.CSRF 模块为跨站请求伪造防护提供了原生支持：

import { CSRF } from "bun";

const secret = "your-secret-key";
const token = CSRF.generate({ secret, encoding: "hex", expiresIn: 60 * 1000 });
const isValid = CSRF.verify(token, { secret });

这些安全特性的内置化降低了开发者的心智负担，让安全最佳实践更容易落地。

生态系统的影响与展望

Bun 1.3 的发布标志着该项目从「快速运行时」向「完整开发平台」的战略转型。Midjourney 等知名公司已在生产环境中使用 Bun 进行前端开发，这证明了其稳定性和可靠性。

官方提到，每个提交都会运行大量的 Node.js 测试套件，表明 Bun 团队对兼容性的重视。对 pnpm.lock 和 yarn.lock 的迁移支持，让团队可以无痛试用 Bun，而无需说服所有成员同时升级工具链。

不过，1.3 版本也带来了一些破坏性变更。Bun.serve() 的 TypeScript 类型被重构，WebSocket 数据定义方式发生变化；SQL 客户端现在强制使用标签模板语法；测试过滤器在没有匹配用例时会报错而非静默成功。这些变更虽然可能给现有项目带来迁移成本，但从长远看有利于 API 的一致性和可维护性。

数据说话：性能对比

根据官方提供的基准测试数据:

• Redis 客户端: 比 ioredis 快 7.9 倍以上
• postMessage 字符串: 速度提升 500 倍，内存减少 22 倍
• postMessage 对象: 速度提升 240 倍
• DiffieHellman: 约快 400 倍
• Cipheriv/Decipheriv: 约快 400 倍
• scrypt: 快 6 倍
• AbortSignal.timeout: 快 40 倍
• Headers 操作: 快 2 倍
• Bun.build on macOS: 快 60%
• Express: 快 9%
• Fastify: 快 5.4%

这些数据展示了 Bun 在性能上的持续领先优势。

社区反响与未来规划

Bun 1.3 的发布在社区引发了热烈讨论。开发者们尤其关注全栈开发能力的提升和包管理器的企业级特性。Socket 公司 CTO Ahmad Nassri 对安全扫描 API 的评价颇具代表性：「Bun 团队行动迅速，在包管理器层面保护开发者。开放安全扫描 API，让 Socket 这样的工具能够在安装过程中提供实时威胁检测。这是让开源开发默认更安全的重要一步。」

官方表示，1.3 系列将持续关注全栈应用开发体验的提升。Redis 集群、流式处理和 Lua 脚本支持已在规划中。WebAssembly 流式编译的实现，以及对更多 TC39 提案的支持，也在进行中。

Bun 的快速迭代和对社区反馈的积极响应，让人对其未来发展充满期待。从一个「更快的 Node.js」到一个「完整的 JavaScript 平台」，Bun 正在书写属于自己的故事。