npm v12では何が変わりますか？

A. npm利用時のセキュリティを大幅に向上させるアップデートとなる予定です。

npm v12では、インストール時に依存パッケージが持つスクリプトが、標準では自動実行されなくなります。これにより、これまで問題なく入っていたパッケージでも、追加設定なしでは動作しにくくなる可能性があります。

対象になりやすいものとして、インストール時にビルドを行うものや、バイナリを取得するものが挙げられています。

信頼できるパッケージについては、利用者が明示的に実行を許可する必要があります。

Git経由やリモートURL経由の依存関係についても、取り扱いが厳格化されます。

今回の変更は、npmを狙ったサプライチェーン攻撃への対策強化の一環と言えます。

互換性への影響は大きい一方で、npm利用時の安全性を高めるアップデートになりそうです。

👉 詳細のブログはこちら