Mała aktualizacja następująca po 1.2.0 — dwie poprawki i rozszerzona dokumentacja.

nginx charset#

Odpowiedzi tekstowe — /llms.txt, /robots.txt — były serwowane bez deklaracji zestawu znaków. Przeglądarki renderowały znaki spoza ASCII jako krzaki. Dyrektywę charset utf-8; ustawiono teraz na poziomie bloku serwera w docker/nginx.conf.template, więc każdy typ odpowiedzi automatycznie otrzymuje poprawną deklarację.

Ostrzeżenie o niejednoznacznym kluczu katalogu#

Ostrzeżenie "Ambiguous directory key" wywoływało się wcześniej w czasie budowania drzewa — w chwili rejestracji drugiego elementu treści z tym samym basename — niezależnie od tego, czy ten skrócony klucz był kiedykolwiek rzeczywiście używany w szablonie.

Teraz ostrzeżenie jest odroczone do momentu faktycznego wyszukiwania: pojawia się raz i tylko wtedy, gdy content_item() lub content_url() jest wywołane z niejednoznacznym skróconym kluczem. Strony z kolizjami nazw w różnych sekcjach treści nie zobaczą już zbędnych ostrzeżeń dla kluczy, których nigdy nie używają.

Dwie nowe strony dokumentacji#

Motyw demo ma teraz strony Theme Building i Security, dostępne we wszystkich czterech wersjach językowych.

Budowanie Motywu omawia pełny model warstw szablonów — jak local/templates/, zarejestrowane ścieżki motywu i bare core rozwiązywane są według priorytetu — oraz zawiera referencję kontraktów kontekstu szablonów, globalnych Twig, funkcji i filtrów, API ContentItem, wymaganych kluczy tłumaczeń i sześciu zasad przenośności, których powinien przestrzegać każdy motyw.

Bezpieczeństwo wyjaśnia model zagrożeń, który kształtuje decyzje bezpieczeństwa notACMS: brak bazy danych, brak dynamicznego renderowania, pipeline budowania, który nigdy nie wykonuje treści. Strona opisuje wbudowane zabezpieczenia (walidacja hostname Turnstile, ochrona przed path traversal, ścisłe typy), celowe podejście do CSRF w formularzu kontaktowym oraz najlepsze praktyki wdrożeniowe.

Obie strony pojawiają się w menu nawigacyjnym Documentation i pasku bocznym.

Pełny changelog#

CHANGELOG.md

1.2.0 to wynik kompletnego audytu notACMS — architektury, bezpieczeństwa, jakości kodu i obu drzew szablonów. Naprawiono około 170 problemów. Najważniejsze zmiany:

Odporność#

• Plik markdown z błędnym frontmatterem nie psuje już całej wersji językowej ani nie przerywa builda — zostaje pominięty i zgłoszony ze ścieżką oraz treścią błędu.
• Brakujący slug: nie może już po cichu zastąpić strony głównej; posts_per_page: 0 nie wysypuje bloga; zduplikowane adresy URL, niejednoznaczne klucze katalogów i nieprawidłowe tagi generują teraz czytelne ostrzeżenia builda.
• Szkice i zaplanowane strony są teraz naprawdę pomijane przy budowaniu, nie trafiają do menu ani do /llms.txt — wcześniej filtrowane były tylko wpisy.
• app:build -o <katalog> bez flagi --force odmówi wyczyszczenia katalogu innego niż skonfigurowany katalog statyczny.
• Pierwsze wejście na /pl/ nie przekierowuje już do wersji angielskiej — adres URL jest traktowany jako wybór języka i zapisywany w cookie. Cookie jest teraz warunkowo oznaczane jako Secure, dzięki czemu mechanizm działa też w środowiskach HTTP.
• Wyniki wyszukiwania wyświetlają teraz wyróżnienia jako prawdziwe znaczniki <mark>, a nie jako dosłowny tekst <mark>.
• Bazowy _site.yaml szablonu startowego zawiera teraz przykładowe wartości contact_form — świeża instalacja nie kończy się już błędem builda.

Bezpieczeństwo#

• ImageMagick działa teraz przez Symfony\Process z tablicami argumentów — exec() znikło.
• Turnstile weryfikuje hostname odpowiedzi względem base_url i loguje błąd, gdy w produkcji aktywne są testowe klucze. Przy starcie sprawdzane jest też, czy APP_SECRET nie jest wciąż placeholderem.
• Output JSON-LD jest hex-escapowany (</script> w tytule nie wyłamie ze skryptu), katalogi tłumaczeń nie zawierają już HTML-a, a nagłówki bezpieczeństwa nginx obejmują teraz też odpowiedzi /assets/ i /media/.
• Lokalizowane API formularza kontaktowego było nieosiągalne w deploymencie Docker przez błąd w regexie nginx — naprawione.

Dla twórców motywów#

• Nowy THEME_BUILDING.md: pełny kontrakt API motywów — konteksty szablonów per trasa, funkcje i zmienne globalne Twig, API ContentItem oraz klucze tłumaczeń wymagane przez każdy motyw.
• #[LocalizedRoute] działa teraz w local/src/Controller/, przełączanie języków działa poprawnie przy 3 i więcej językach, a pipeline budowania statycznego został rozbity na wielokrotnie używalne serwisy.

Nowości#

• Build statyczny generuje teraz plik /llms.txt dla każdej wersji językowej — lista najnowszych wpisów w formacie czytelnym dla modeli językowych. Konfigurowane przez llms_limit w _site.yaml (domyślnie: 5). Szablon jest nadpisywalny per-motyw przez przestrzeń nazw @base Twig.

Breaking changes#

Kilka — każda z jednolinijkową migracją. directoryKey() zwraca teraz pełną ścieżkę treści (szukanie po samej nazwie nadal działa), getTree() przeniesione do ContentTreeProviderInterface, blogPosting() przyjmuje nazwaną mapę, klucz kontekstu lang_switch_url znikł, usunięto cztery nieużywane klucze tłumaczeń, a pakiet old-template z wersji 1.0 został wycofany. Pełny przewodnik migracji: UPGRADE-1.2.md.

Zaktualizuj natychmiast. Uruchom composer update w swoim projekcie, a następnie przebuduj.

Symfony 7.4.13 (6 CVE)#

• CVE-2026-48489 — obejście firewalla bezpieczeństwa: handler failure_forward honorował parametr _failure_path dostarczony przez atakującego w wewnętrznym podżądaniu, umożliwiając pominięcie firewalla.
• CVE-2026-48736 — obejście SSRF w NoPrivateNetworkHttpClient i IpUtils::PRIVATE_SUBNETS przez formy przejściowe adresów IPv6 (IPv4-mapped, IPv4-compatible, 6to4, Teredo).
• CVE-2026-48761 — HtmlSanitizer nie sanityzował atrybutów URL w elementach <object>, <applet>, <iframe>, <img> oraz URL w treści <meta http-equiv="refresh">.
• CVE-2026-48760 — HtmlSanitizer akceptował procentowo zakodowane znaki BiDi i białe znaki Unicode w URL-ach, umożliwiając obejście sanityzatora przez wizualne podszywanie się.
• CVE-2026-48784 — UrlGenerator błędnie kodował łańcuchowe segmenty ../ i ./, generując URL-e mogące wychodzić poza zamierzony ścieżkę.
• CVE-2026-48747 — Mailer: algorytm podpisu webhooka Mailomat nie był przypięty do SHA-256, umożliwiając ataki podstawienia algorytmu.

Pełna lista: symfony.com/blog/symfony-7-4-13-released.

Twig 3.27.0 (5 CVE)#

Wszystkie pięć to obejścia sandboxa. Jeśli Twój motyw renderuje szablony kontrolowane przez użytkownika w sandboxie, są krytyczne:

• CVE-2026-46636 — obejście listy dozwolonych filtrów, tagów i funkcji przy zmianie stanu sandboxa między renderowaniami w długo działających procesach (np. FrankenPHP, RoadRunner).
• CVE-2026-48808 — filtr column omijał listę dozwolonych właściwości pod SourcePolicyInterface.
• CVE-2026-48806 — obejście polityki __toString() przez dynamiczne klucze mapowania: {% set arr = {(obj): "value"} %}.
• CVE-2026-48807 — obejście polityki __toString() przez obiekty Traversable w filtrach join/replace i operatorach in/not in.
• CVE-2026-48805 — regresja stanu sandboxa w przestarzałych wewnętrznych wrapperach (twig_check_arrow_in_sandbox(), twig_array_some(), twig_array_every()).

Pozostałe zmiany w 1.1.4#

• symfony/polyfill-* zaktualizowano z v1.37.0 do v1.38.1.
• Zależności deweloperskie: phpstan/phpstan 2.1.55 → 2.2.1, phpunit/phpunit 13.1.10 → 13.1.13, rector/rector 2.4.4 → 2.4.5.

Jak zaktualizować#

composer update
ddev build   # lub odpowiednik komendy budowania w Twoim środowisku

Nie są wymagane żadne zmiany konfiguracji ani kroki migracji.

Pełny changelog#

CHANGELOG.md

Sześć plików JSON Schema draft-07 trafiło do config/schema/:

Wszystkie szablonowe pliki YAML (_site.yaml, _routes.yaml, _tags.yaml) w docs/bare/, docs/demo/ i docs/customization/old-template/ zawierają teraz komentarz # yaml-language-server: $schema= wskazujący na URL na gałęzi main. VS Code (i każdy edytor z YAML Language Server) wykrywa je automatycznie — walidacja i autouzupełnianie działają bez żadnej dodatkowej konfiguracji projektu.

Schematy są zoptymalizowane pod kątem wspomaganego przez AI tworzenia treści: opisy zawierają wartości domyślne, ograniczenia i wyjaśnienie zachowań, dzięki czemu asystent AI pracujący w innym projekcie może pobrać schemat i wiedzieć dokładnie, co robi każde pole.

Pobranie dowolnego schematu bezpośrednio z gałęzi main:

https://raw.githubusercontent.com/holas1337/notACMS/main/config/schema/<name>.schema.json

Aktualizacja bezpieczeństwa: Symfony 7.4.12 i Twig 3.26.0#

Zaktualizuj natychmiast. Uruchom composer update w swoim projekcie, a następnie przebuduj.

Symfony 7.4.12 (21 CVE)#

Najbardziej istotne dla wdrożeń CMS:

• CVE-2026-45073 — SQL injection w Cache przez niezwalidowany $prefix w PdoAdapter::doClear().
• CVE-2026-45071 — XXE / ujawnienie lokalnych plików w DomCrawler::addXmlContent() przy włączonym validateOnParse.
• CVE-2026-45075 — żądania HEAD omijają filtr methods w atrybutach #[IsGranted], #[IsCsrfTokenValid] i #[IsSignatureValid].
• CVE-2026-45072 — XSS w CodeExtension::fileExcerpt() w TwigBridge.
• CVE-2026-45068 — wstrzyknięcie nagłówka w SendmailTransport; adresy zaczynające się od myślnika są teraz odrzucane.
• CVE-2026-45067 — adresy e-mail zawierające znaki nowej linii akceptowane przez Mime\Address — teraz odrzucane.
• CVE-2026-45305 / 45304 / 45133 — katastrofalne backtracking i nieograniczona rekurencja w parserze YAML.
• CVE-2026-45066 / 45064 / 45753 — trzy obejścia HtmlSanitizer: znaki BiDi, różnice parserów URL oraz niesanityzowane atrybuty action/formaction/poster/cite.

Pełna lista: symfony.com/blog/symfony-7-4-12-released.

Twig 3.26.0 (4 CVE)#

Wszystkie cztery to obejścia sandboxa. Jeśli Twój motyw używa sandboxa Twiga dla szablonów dostarczanych przez użytkownika, są krytyczne:

• CVE-2026-46635 — obejście listy dozwolonych właściwości przez filtr column (array_column na obiektach).
• CVE-2026-46638 — {% sandbox %}{% include %} pomija checkSecurity() na zbuforowanych szablonach; niekompletna poprawka dla CVE-2024-45411.
• CVE-2026-24425 — obejście sandboxa przy użyciu polityki źródłowej.
• CVE-2026-47732 — wielokrotne obejścia polityki __toString() przez niezabezpieczone punkty koercji stringów.

Pozostałe zmiany w 1.1.3#

• Naprawione nieaktualne fragmenty Pagefind — scripts/rebuild-content.sh usuwa teraz katalog public/pagefind/ przed ponownym indeksowaniem. Wcześniej usunięte lub przemianowane treści pozostawiały osierocone pliki fragmentów, które Pagefind serwował razem z aktualnymi wynikami.
• Usprawnienia DESIGN.md — zakodowane na stałe wartości hex zastąpiono odniesieniami do tokenów w plikach DESIGN.md bare i demo; dodano alias koloru primary; dodano token komponentu card-hover do motywu demo.

Jak zaktualizować#

composer update
ddev build   # lub odpowiednik komendy budowania w Twoim środowisku

Nie są wymagane żadne zmiany konfiguracji ani kroki migracji.

Pełny changelog#

CHANGELOG.md

Jeśli domyślną lokalizacją witryny jest en, zarówno /en/blog/, jak i /blog/ były dostępne i renderowały tę samą treść. To dwa indeksowalne adresy URL dla jednej strony — a wyszukiwarki wybierają ten, który im się podoba, co rzadko jest tym, którego oczekujesz.

1.1.2 dodaje DefaultLocaleRedirectListener. Każde żądanie do /<domyślna-lokalizacja>/... zwraca 301 na adres URL bez prefiksu:

GET /en/blog/         →  301 Location: /blog/
GET /en/about/?ref=x  →  301 Location: /about/?ref=x
GET /pl/blog/         →  200 (lokalizacja niedomyślna, nietknięta)

Listener uruchamia się przed routerem Symfony, więc przekierowanie następuje, zanim framework w ogóle spróbuje dopasować trasę — żadnej zmarnowanej pracy, żadnych szumów 404 w logach. Lokalizacje niedomyślne (pl, de, fr w tej witrynie) pozostają nietknięte.

To również eliminuje drobny wyciek SEO: linki zwrotne, które przypadkowo zawierają prefiks lokalizacji, konsolidują się teraz do kanonicznego adresu URL, zamiast dzielić autorytet domeny.

JSON-LD Schema.org jako płynny builder#

Do wersji 1.1.1 każdy szablon, który potrzebował danych strukturalnych, osadzał tablicę PHP, przepuszczał ją przez |json_encode|raw i opakowywał wynik w tag <script>. Sześć szablonów, sześć niemal identycznych bloków, z których każdy stwarzał nową okazję do zapomnienia o JSON_UNESCAPED_SLASHES lub do wysłania <script>false</script>, jeśli frontmatter zawierał nieprawidłowy bajt.

1.1.2 zastępuje to wszystko serwisem i dwiema funkcjami Twig:

{% block structured_data %}{{ json_ld(structured_data().blogPosting(
    content.title(),
    site_base_url ~ content.url(),
    content.date(),
    content.htmlContent,
    site_author.name,
    content.image() ? site_base_url ~ content.image() : null
)) }}{% endblock %}

structured_data() zwraca builder; wywołaj typowaną metodę (webSite, webPage, blogPosting, collectionPage, contactPage, person, breadcrumbList, organization, imageObject), a wynikiem jest zwykła tablica. json_ld(array) koduje ją i opakowuje w tag <script type="application/ld+json">. Puste i null-owe pola są usuwane rekursywnie, więc opcjonalne dane wejściowe (nieustawiony e-mail autora, brakujący obraz) po prostu nie pojawią się na wyjściu.

Kodowanie używa teraz JSON_THROW_ON_ERROR — nieprawidłowe UTF-8 we frontmatter ujawnia się jako rzeczywisty wyjątek podczas renderowania, zamiast po cichu wysyłać uszkodzony tag <script>.

Bazowe szablony rdzenia dla stron contact, default i projects również emitują teraz znaczniki Schema.org. Wcześniej wdrożenia bazowe miały słabszy SEO niż każdy przykład dostosowywania, który dostarczamy; ta luka została zamknięta.

Pełne API buildera oraz informacje o nadpisywaniu bloku structured_data we własnym motywie znajdziesz w przewodniku Dostosowywanie → Dane strukturalne.

Poprawki bezpieczeństwa#

Dwa błędy ujawniły się podczas przeglądu 1.1.2 i zostały naprawione przed wydaniem:

• Otwarte przekierowanie poprzez normalizację ścieżki. Metoda Request::getPathInfo() w Symfony nie zwija powtórzonych ukośników, więc żądanie do /<domyślna-lokalizacja>//evil.com mogłoby w przeciwnym razie wygenerować Location: //evil.com — przekierowanie względne wobec protokołu, za którym przeglądarki podążają na inne źródło. Nowy listener przekierowań nie wystawia teraz przekierowań na nic, co nie jest lokalną ścieżką z pojedynczym ukośnikiem.
• XSS w wynikach wyszukiwania. assets/search.js osadzał pole excerpt z Pagefind w innerHTML bez escapowania. Wersja demo była już poprawna; rdzeń się rozjechał. Obie są teraz zsynchronizowane. Tagi <mark> z Pagefind nie są już renderowane w wynikach wyszukiwania rdzenia — świadomy kompromis na rzecz bezpieczniejszej wartości domyślnej.

Co jeszcze w 1.1.2#

• Wewnętrzny refaktoring Twig. Logika sidebaru, breadcrumbów, plakietek wpisów, obrazów og oraz filtrów bloga została przeniesiona z szablonów do dedykowanych rozszerzeń Twig. Szablony skupiają się na układzie; testy mogą celować bezpośrednio w każdą funkcję pomocniczą. Nowa powierzchnia dostosowywania: zobacz Funkcje pomocnicze układu w przewodniku dostosowywania.
• Wyszukiwanie po kluczu katalogu w czasie O(1) w ContentTree — drobna optymalizacja wydajności w witrynach z setkami stron.
• docs/customization/old-template/ jest teraz przestarzałe i zostanie usunięte w 1.2.0. Był to jednorazowy element pomocniczy migracji 1.0→1.1; nowe prace nad dostosowywaniem powinny opierać się na custom-footer/ lub self-hosted-fonts/.
• Aktualizacje zależności: Symfony 7.4.8 → 7.4.9 w całym pakiecie, PHPStan 2.1.51 → 2.1.54, PHPUnit 13.1.7 → 13.1.8.

Pełna lista zmian#

Wszystkie zmiany z kategoriami: CHANGELOG.md.

Etykiety w nawigacji dla stron treści pochodzą teraz z frontmatter — nie z kluczy tłumaczeń. Wystarczy ustawić menu.label w frontmatter strony, a to ono stanie się etykietą w menu; jeśli go nie ma, użyty zostanie title.

---
title: "Przewodnik po architekturze"
slug: "architecture-guide"
menu:
  label: "Architektura"
  weight: 30
---

Nowa funkcja Twig content_item() pozwala pobrać dowolną stronę według klucza katalogu:

{{ content_item('architecture-guide', 'pl').menuLabel() }}
{# → "Architektura" (lub tytuł strony, jeśli menu.label nie jest ustawione) #}

Dlaczego to ważne: Wcześniej pliki messages.*.yaml w każdej lokalizacji musiały zawierać tłumaczenia dla nav.home, nav.blog, nav.about, nav.contact, nav.privacy_policy (core) oraz site.releases, site.about, site.manual, site.architecture, site.customization, site.locales, site.design_reference, site.contact (demo). Dodanie strony oznaczało aktualizację N plików tłumaczeń. Teraz wystarczy jedno pole w frontmatter. Własne szablony odwołujące się do usuniętych kluczy powinny przejść na content_item('key', locale).menuLabel().

Deploy nie nadpisuje już istniejącego local/#

Błąd#

Uruchomienie ./notACMS deploy --prod tworzyło kopię zapasową i nadpisywało cały katalog local/ zawartością docs/demo/ przy każdym deployu — nawet gdy zawierał twoją treść, szablony i dostosowania. Logika seedowania nie rozróżniała jawnego żądania ponownego seedowania motywu (--bare/--demo) od zwykłego redeployu z istniejącą treścią.

Naprawa#

Deploy działa teraz dokładnie tak samo jak ddev build:

• Brak flagi --bare / --demo → seeduje local/ tylko jeśli nie istnieje lub jest puste; pomija, jeśli zawiera treść.
• Przekazano --bare lub --demo → tworzy kopię zapasową istniejącego local/ i seeduje wybrany motyw.

./notACMS deploy --prod          # zachowuje istniejące local/
./notACMS deploy --prod --demo   # wymusza ponowne seedowanie z docs/demo/
./notACMS deploy --prod --bare   # wymusza ponowne seedowanie z docs/bare/

--prod kontroluje teraz tylko flagi Composera (--no-dev) i środowisko uruchomieniowe (APP_ENV=prod). Nigdy nie modyfikuje local/.

Co jeszcze w 1.1.1#

• Aktualizacja zależności: pakiety symfony/polyfill-* zaktualizowane z v1.36.0 do v1.37.0.
• Treść demo w języku polskim, niemieckim i francuskim zweryfikowana i ulepszona na wszystkich stronach i wpisach bloga.
• Przewodniki stylu tłumaczeń dodane do systemu umiejętności agenta AI dla języków polskiego, niemieckiego i francuskiego, aby zapewnić spójną jakość przyszłych tłumaczeń.

Pełna lista zmian#

Wszystkie zmiany z kategoriami: CHANGELOG.md.

Najważniejsza zmiana w 1.1.0: notACMS zawiera teraz dwa motywy, a ty wybierasz jeden już przy pierwszym buildzie:

./notACMS deploy --demo    # domyślny — projekt amber-phosphor, który widzisz tutaj
./notACMS deploy --bare    # minimalny wireframe: fonty systemowe, jasny tryb, ~200 linii CSS

ddev build obsługuje te same flagi. Cokolwiek wybierzesz, działa każda funkcja: treści wielojęzyczne, blog, RSS, sitemap, wyszukiwarka, formularz kontaktowy, obrazy z wariantami responsywnymi, czas czytania, wskaźnik postępu czytania. Różnica leży jedynie w wyglądzie — i, co najważniejsze, w tym, ile dziedziczysz, zanim zaczniesz dopasowywać.

Minimalny rdzeń#

Rdzeń w templates/, assets/, translations/ jest teraz wireframem. Został świadomie zminimalizowany, żeby nadpisanie pojedynczego bloku nie ciągnęło za sobą języka wizualnego, z którym musiałbyś walczyć. Jeśli budujesz projekt szyty na miarę, startuj z bare i od pierwszego dnia kontrolujesz cały wygląd.

Motyw demo#

Demo znajduje się w docs/demo/ i kopiowane jest do local/, kiedy wybierzesz --demo. To pełny projekt amber-phosphor, który właśnie czytasz — ciemny tryb, overlay wyszukiwania, sidebar dokumentacji, przełącznik motywu, wszystko razem. Startuj stąd, jeśli chcesz dopracowany projekt już dziś i planujesz dopracowywać, a nie przebudowywać.

System nadpisań local/#

Oba motywy korzystają z tego samego mechanizmu: każdy plik w local/ ma pierwszeństwo przed odpowiadającą mu ścieżką w rdzeniu.

Rdzeń nie jest nigdy edytowany. git pull pozostaje czysty. Personalizacje znajdują się w repozytorium twojej strony, nie w forku tego repo.

Aktualizacja z 1.0.0#

Jeśli używałeś 1.0.0 i chcesz, żeby twoja strona wyglądała dokładnie jak wcześniej, pakiet kompatybilności to jedna linijka:

cp -r docs/customization/old-template/. local/
ddev build

To wrzuca kompletny motyw sprzed 1.1.0 — szablony, SCSS, fonty, obrazy, tłumaczenia — do local/. Twoja strona renderuje się dokładnie jak przedtem. Później możesz selektywnie usuwać pliki z local/, w miarę jak adaptujesz nowe elementy projektu.

Faktyczne breaking changes, które cię dotkną, jeśli dostosowywałeś stary rdzeń:

• Zmiana nazwy entrypointa SCSS: local/assets/styles/local.scss → local/assets/styles/app_local.scss. Zmień nazwę pliku i zaktualizuj import w local/assets/app.js.
• Zmienne SCSS kolorów w rdzeniu zastąpione CSS custom properties: $color-body → var(--text), $color-link → var(--accent) itd. Pełna mapa w UPGRADE-1.1.md.
• Klucze tłumaczeń usunięte z rdzenia (nadal obecne w motywie demo): header.tagline, nav.projects, nav.search, blog.published_on, blog.comments_disabled. Jeśli twoje szablony wołają '...'|trans na tych kluczach, zaktualizuj je.
• Katalog docs/examples/ usunięty: przydatne części trafiły do docs/customization/old-template/; przykłady nadpisań ad hoc zostały wyparte przez model bare/demo.

Zobacz UPGRADE-1.1.md po pełną listę ze snippetami przed/po.

Co jeszcze nowego w 1.1.0#

• Czas czytania i wskaźnik postępu czytania na wpisach, dokumentacji i releasach.
• Przełącznik języka jako rozszerzenie Twiga (lang_switch_urls) z poprawnymi łańcuchami fallbacków dla archiwów, list z paginacją i stron głównych.
• Zajawki wpisów usuwają kotwice nagłówków — żadnych zbłąkanych # na kartach list.
• Szkielet zestawu testów w tests/Unit/, tests/Integration/, tests/Fixtures/ z początkowym pokryciem i komendą test uruchamianą z hosta.
• Skrypty agenta AI w .claude/skills/ do pracy nad repo: dodawanie wersji językowych, sprawdzanie alignmentu dokumentacji, site-sweepy, tłumaczenia i generowanie przewodników aktualizacji.

Pełna lista zmian#

Każda zmiana ze swoją kategorią: CHANGELOG.md.

Po kilku miesiącach wewnętrznego użytkowania w projektach osobistych, oznaczam pierwsze stabilne wydanie. Podstawowy zestaw funkcji jest wystarczająco solidny, aby budować prawdziwe strony.

Pipeline treści#

Pipeline treści to serce notACMS. Odczytuje katalog local/content/, parsuje frontmatter i jedną komendą generuje kompletną stronę statyczną.

• Treść Markdown z frontmatter YAML
• Renderowanie CommonMark z permalinkami nagłówków
• Generowanie excerptów z treści prozatorskich
• Obliczanie czasu czytania

Wielojęzyczny routing#

Wersje językowe są definiowane w _site.yaml. Każda wersja językowa otrzymuje własną przestrzeń URL, z opcjonalnymi nadpisaniami ścieżek w _routes.yaml.

locales:
  en:
    label: "English"
    date_format: "M d, Y"
  pl:
    label: "Polski"
    date_format: "d.m.Y"

Wyszukiwarka Pagefind#

Pełnotekstowe wyszukiwanie jest wbudowane w wynik statyczny przez Pagefind. Komenda budowania automatycznie generuje indeks wyszukiwania. Brak zewnętrznego API, brak wyszukiwania po stronie serwera — tylko statyczny indeks działający offline.

Przetwarzanie obrazów#

Obrazy przechowywane obok treści są przetwarzane podczas budowania. notACMS generuje warianty WebP w wielu szerokościach, automatycznie aktualizuje atrybuty src o responsywne srcset i obsługuje mapowanie ścieżek między katalogami treści i wynikowym.

Środowisko lokalne DDEV#

Środowisko deweloperskie jest w pełni skonteneryzowane z DDEV. ddev start daje PHP 8.5, Nginx i wszystkie narzędzia budowania. ddev build produkuje wynik statyczny. ddev code-check uruchamia PHPStan i PHP CS Fixer.

Breaking changes#

To pierwsze stabilne wydanie. Jeśli używałeś wersji sprzed 1.0, sprawdź schemat _site.yaml — klucz social zmienił się z listy na mapę.

Aktualizacja#

git pull
ddev composer install
ddev build

Co dalej#

v1.1.0 skupi się na systemie designu i dokumentacji. Ta strona — zbudowana z notACMS — stanie się oficjalną dokumentacją i referencją projektową.

Więcej na ten temat na moim blogu: I left WordPress.

Problem, na który wciąż natrafiałem#

Każdy projekt PHP, nad którym pracowałem, w końcu potrzebował strony internetowej. Dokumentacja, landing page, blog — to, co zwykle. I za każdym razem, gdy sięgałem po narzędzie, lądowałem w tym samym miejscu: narzędzie, które chciało, żebym myślał jak ono, a nie jak programista PHP.

Hugo jest szybki, ale jego język szablonów jest obcy. Jekyll wymaga Ruby. WordPress nie nadaje się do treści statycznych. Next.js jest potężny, ale zamienia problem z publikowaniem Markdown w problem z bundlerem JavaScript.

Wciąż myślałem: znam już Symfony. Znam już Twig. Mam już Composer. Dlaczego muszę uczyć się nowego ekosystemu tylko po to, żeby opublikować tekst?

Decyzja o braku bazy danych#

Pierwsza rzecz, którą postanowiłem: żadnej bazy danych. Nie „baza danych opcjonalnie" — żadnej bazy danych w ogóle. Treść przechowywana jest w plikach. Proces budowania odczytuje pliki. Wynik to pliki.

To wymusza pewną dyscyplinę. Struktura treści musi być jawna i przewidywalna. Nie ma zapytania do bazy, po które można sięgnąć, gdy chce się znaleźć powiązane wpisy lub wygenerować mapę strony. Wszystko musi wynikać ze struktury plików.

To ograniczenie okazało się właściwym wyborem. Dzięki temu system jest łatwy do zrozumienia, prosty do archiwizacji i banalny dla narzędzi AI.

AI-friendly z założenia#

Zacząłem poważnie o tym myśleć, gdy zacząłem używać LLM-ów w codziennej pracy. Proszenie AI o pomoc przy generowaniu treści, tłumaczeniu stron czy walidacji schematów YAML jest proste, gdy format to zwykły tekst.

W przypadku CMS-a opartego na bazie danych trzeba by wyjaśniać schemat, pisać SQL, zarządzać migracjami. Z notACMS przekazujesz AI katalog plików Markdown i może ona bezpośrednio odczytywać, generować i edytować treści — bo format to po prostu tekst.

To nie jest funkcja dodana po fakcie. Dlatego właśnie system jest zaprojektowany w ten sposób.

Fundament Symfony#

Zbudowałem notACMS na Symfony 7 z tego samego powodu, dla którego używam Symfony do wszystkiego innego: jest jawny, typowany i dobrze udokumentowany. Kontener DI, komendy konsolowe, Twig — to wszystko standardowy Symfony. W infrastrukturze nie ma nic nowatorskiego.

Model treści to interesująca część. System routingu odczytuje _routes.yaml i generuje trasy Symfony z drzewa treści. Komenda budowania renderuje każdą trasę i zapisuje statyczny HTML. Warstwa serwisów jest lekka i wymienialna.

Co dalej#

To pierwsze wydanie to działający fundament. Rzeczy, które chcę zbudować:

• Integracja wyszukiwarki Pagefind (w v1.0.0)
• Lepszy pipeline obrazów z generowaniem WebP
• Pełniejsze wsparcie wielojęzyczne
• Właściwa strona Design Reference (tym staje się ta strona)

Repozytorium jest publiczne. Jeśli chcesz śledzić postępy lub wnieść wkład, link jest w stopce.