惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

B
Blog
C
Cybersecurity and Infrastructure Security Agency CISA
Microsoft Security Blog
Microsoft Security Blog
B
Blog RSS Feed
云风的 BLOG
云风的 BLOG
G
Google Developers Blog
Recent Announcements
Recent Announcements
A
About on SuperTechFans
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Google Online Security Blog
Google Online Security Blog
Google DeepMind News
Google DeepMind News
S
Schneier on Security
S
Secure Thoughts
T
The Exploit Database - CXSecurity.com
Martin Fowler
Martin Fowler
P
Proofpoint News Feed
Security Latest
Security Latest
Jina AI
Jina AI
D
Darknet – Hacking Tools, Hacker News & Cyber Security
Recorded Future
Recorded Future
T
Tor Project blog
有赞技术团队
有赞技术团队
H
Hackread – Cybersecurity News, Data Breaches, AI and More
N
News | PayPal Newsroom
博客园 - 三生石上(FineUI控件)
MyScale Blog
MyScale Blog
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Last Week in AI
Last Week in AI
F
Full Disclosure
Hacker News: Ask HN
Hacker News: Ask HN
Forbes - Security
Forbes - Security
D
DataBreaches.Net
人人都是产品经理
人人都是产品经理
NISL@THU
NISL@THU
C
Cisco Blogs
Recent Commits to openclaw:main
Recent Commits to openclaw:main
Google DeepMind News
Google DeepMind News
Project Zero
Project Zero
IT之家
IT之家
T
Threatpost
Cyberwarzone
Cyberwarzone
O
OpenAI News
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
J
Java Code Geeks
P
Proofpoint News Feed
The Last Watchdog
The Last Watchdog
月光博客
月光博客
Latest news
Latest news
MongoDB | Blog
MongoDB | Blog
Apple Machine Learning Research
Apple Machine Learning Research

pnpm Blog

pnpm 11.10 pnpm 11.9 pnpm 11.8 pnpm 11.7 Why pnpm no longer expands environment variables in a repository's .npmrc pnpm 11.6 pnpm 11.5 pnpm 11.4 pnpm 11.3 pnpm 11.2 pnpm 11.1 pnpm 11.0 pnpm 10.32 pnpm 10.31 pnpm 10.30 pnpm 10.29 pnpm 10.28 pnpm 10.27 🚀 2025年的 pnpm pnpm 10.25 我们如何保护新闻编辑部免受npm供应链攻击 pnpm 10.24 pnpm 10.23 pnpm 10.22 pnpm 10.21 pnpm 10.20
pnpm 10.26
Zoltan Kochan · 2025-12-15 · via pnpm Blog

pnpm 10.26 为 git 托管的依赖项引入了更严格的安全默认值,添加了 allowBuilds 以实现细粒度的脚本权限,并包含了一个新设置来阻止特殊的传递依赖项。

次要更改

更严格的 Git 依赖安全

半破坏性更改。 现在,除非在 onlyBuiltDependencies(或 allowBuilds)中明确允许,否则 Git 托管的依赖项将无法在安装期间运行 prepare 脚本 #10288。 此项更改可防止从不受信任的 Git 仓库执行恶意代码。

allowBuilds

新增了一个名为 allowBuilds 的新设置,提供了灵活管理构建脚本的方式。 它接受一个包匹配器映射,以明确允许(true)或禁止(false)脚本执行。 这将取代 onlyBuiltDependenciesignoredBuiltDependencies,成为首选配置方法 #10311

示例:

allowBuilds:
esbuild: true
core-js: false
nx@21.6.4 || 21.6.5: true

blockExoticSubdeps

新增了 blockExoticSubdeps 设置,以提高供应链安全性。 当设置为 true 时,它会阻止在过渡依赖中解析异常协议 (如 git+ssh: 或直接的 https://: tarball)。 只有直接依赖项才允许使用特殊来源 #10265

HTTP Tarball 的完整性哈希

半破坏性更新。 pnpm 现在会在获取 HTTP tarball 依赖项时计算其完整性哈希值,并将其存储在 lockfile 中。 这将确保服务器在随后安装时无法在没有检测到的情况下提供被更改的内容 #10287

pnpm pack --dry-run

pack 命令添加了对 --dry-run 的支持。 这样,你就可以在不实际创建 tarball 的情况下验证哪些文件将包含在 tarball 中 #10301

补丁更改

  • 当最新版本被弃用时,在表格/列表格式中显示弃用提示 #8658
  • deploy 命令的锁文件中删除 injectWorkspacePackages 设置 #10294
  • 在将 tarball URL 保存到锁文件之前对其进行规范化 #10273
  • 修复重定向不可变依赖项的 URL 规范化 #10197