pnpm v10 теперь по умолчанию блокирует скрипты жизненного цикла зависимостей
Ключевое обновление
pnpm v10 (стабильная версия) изменяет поведение установки по умолчанию так, что скрипты жизненного цикла, определенные в зависимостях, больше не выполняются во время установки, если это не разрешено явно (через pnpm.onlyBuiltDependencies, файл разрешенного списка или путем одобрения сборок). Это преднамеренное, значительное изменение, направленное на предотвращение атак на цепочку поставок, которые выполняют вредоносные скрипты postinstall/preinstall. (github.com)
Почему это важно
Это практический поворот в области безопасности с немедленным операционным воздействием. Команды, использующие pnpm, могут столкнуться с неудачами CI и локальных установок для пакетов, которые зависят от скриптов сборки/установки (нативные модули, такие как bcrypt, движки Prisma, esbuild, sqlite3 и т.д.), поскольку эти скрипты теперь игнорируются, пока вы не одобрите их. Изменение уменьшает автоматическую поверхность атаки от ненадежных скриптов зависимостей, но требует небольшую миграцию: либо предварительно одобрить необходимые пакеты с помощью новой команды pnpm approve-builds, либо добавить одобренные имена в pnpm.onlyBuiltDependencies (или использовать управляемый onlyBuiltDependenciesFile, предоставленный внутренним пакетом политики). В CI вы должны зафиксировать версию pnpm через поле packageManager, предварительно заполнить разрешенный список (или выполнить детерминированный, неинтерактивный шаг одобрения) и протестировать сборки от начала до конца перед развертыванием изменения в монорепозиториях. Для команд, которые не могут немедленно принять разрешенный список, pnpm предоставляет способ восстановить поведение до v10, настроив neverBuiltDependencies, но полагание на это лишает вас преимущества в безопасности. В целом, это небольшая предварительная операционная стоимость, которая значительно укрепляет установки против распространенных атак на цепочку поставок скриптов установки. (github.com)
Источник
Читать дальше
AWS CDK разделяет CLI от библиотеки конструкций (независимые релизы и новый репозиторий CLI)
31 августа 2025 г.AWS объявила, что CDK CLI и библиотека конструкций CDK будут выпускаться независимо, а CLI переходит в новый репозиторий — это изменяет способ версионирования, установки и автоматизации CDK в CI.
Bun добавляет Bun.SQL — унифицированный SQL-клиент с нулевыми зависимостями (MySQL, PostgreSQL, SQLite)
30 августа 2025 г.Bun v1.2.21 (25 августа 2025 года) представляет Bun.SQL: единственный SQL-клиент с нулевыми зависимостями, который поддерживает MySQL/MariaDB (драйвер Zig), PostgreSQL и SQLite с последовательным API на основе тегированных шаблонов.
pnpm 10.12 (v10.12.1) добавляет экспериментальный глобальный виртуальный магазин для почти мгновенной локальной установки
29 августа 2025 г.pnpm 10.12 представляет центральный виртуальный магазин с графовым хешированием, который позволяет нескольким проектам повторно использовать точные графы зависимостей, значительно ускоряя локальные установки на теплых кэшах и улучшая рабочие процессы монорепозиториев.