计划于2026年7月发布的npm v12将引入重大的安全相关变更,默认情况下将禁用自动脚本执行和远程依赖解析。更新要求开发者明确选择启用安装脚本、Git依赖和远程URL解析,目前npm 11.16.0+版本已提供警告功能帮助开发者提前准备。这些变更旨在提高安全性,同时让开发者对依赖链有更多控制权。
背景
npm是Node.js的默认包管理器,在JavaScript生态系统中被广泛用于管理依赖。近年来,JavaScript社区对恶意软件包和供应链攻击的安全担忧日益增加。
- 来源
- Lobsters
- 发布时间
- 2026年6月10日 18:14
- 评分
- 7.0 / 10