2026年7月GitHub将推nnpm v12:三大安全变更,开发者需提前准备
GitHub官方宣布,nnpm v12大版本更新将于2026年7月推出,此次更新引入了多项安全相关的默认行为变更。npm v12将此前可自动运行的安装行为改为需显式授权,包括allowScripts默认为off,npm install不再自动执行依赖包中的preinstall、install或postinstall脚本;--allow-git默认为none,不再解析Git依赖;--allow-remote默认为none,不再解析来自远程URL的依赖。
这些变更的核心逻辑是“默认拒绝,按需授权”,反映了供应链安全的基本原则。特别是--allow-git和--allow-remote的变更,直接针对通过Git依赖和远程URL进行代码注入的攻击面。此前,即使使用--ignore-scripts,Git依赖的.npmrc仍可能被攻击者利用来执行恶意代码,这类攻击在npm生态的供应链攻击中并不罕见。
对于大多数Node.js项目而言,这些变更意味着需要重新审视package.json和依赖配置。如果项目依赖某些包的postinstall脚本来完成native模块的构建,或依赖git分支依赖来获取最新代码,需要提前在package.json中显式声明这些依赖。GitHub建议开发者在正式环境升级npm v12之前,先在CI/CD流水线中测试11.16.0+版本,观察警告信息并调整配置,以确保升级过程平滑。
编辑观点:nnpm v12的安全变更旨在提升供应链安全,虽会给开发者带来一定调整成本,但长远来看有助于构建更安全的npm生态。