Pnpm has a new setting to stave off supply chain attacks
8 months ago
- #pnpm
- #dependency-management
- #security
- 新增名为'minimumReleaseAge'的设置项,用于延迟安装新发布的依赖项,降低安装存在安全漏洞版本的风险。
- 'minimumReleaseAgeExclude'设置允许特定依赖项绕过发布年龄限制。
- 在'pnpm list'和'pnpm why'命令中新增对'finder functions'的支持,可通过非名称属性(如peer dependencies)搜索依赖项。
- 查找函数可在'.pnpmfile.cjs'中声明,并通过'--find-by=<函数名>'标志调用。
- 补丁变更包括:修复弃用警告、为'nodeVersion'添加精确semver版本要求、改进tar.gz文件处理和进程取消逻辑。