npm CLI v11.10.0リリース

#主要な変更点

• --min-release-ageオプションの追加
  • 指定した経過時間に満たないパッケージのインストールをブロックし、公開直後の悪意あるパッケージを消費するリスクを軽減。pnpmやYarnなど、他の主要パッケージマネージャーに続く形でのコントロール導入。
• --allow-gitフラグの追加
  • npm install時に.npmrc経由でのGit実行パスの上書きを制御。Git依存における--ignore-scriptsを迂回した任意のコード実行リスクに対処可能に。
• OIDC trusted publishingのバルク設定
  • npm trustコマンドで複数パッケージに対するOIDC設定を一括追加・更新可能に。多数のパッケージを管理するメンテナの運用負荷を低減。

#留意事項

--min-release-ageオプションには現在、内部パッケージや緊急のセキュリティ修正を対象外とする例外機能がなく、運用ワークフローと競合する可能性あり。

また--allow-gitフラグは後方互換性維持のため現在デフォルトがallだが、明確な要件がない限り安全のためnoneの指定を推奨。

npm install --allow-git=none

なお、--allow-git=noneの挙動はnpm CLI v12でデフォルト化される見込み。

#参考文献

• npm bulk trusted publishing config and script security now generally available
• Release v11.10.0 · npm/cli