npm v12 introduit des changements sécuritaires majeurs
Original : Upcoming breaking changes for npm v12
Pourquoi c'est important
Renforcement majeur de la sécurité dans l'écosystème JavaScript/Node.js
npm v12, prévu pour juillet 2026, désactivera par défaut l'exécution de scripts lors de l'installation et bloquera les dépendances Git et URLs distantes. Les développeurs doivent explicitement autoriser ces fonctions.
GitHub annonce des changements majeurs pour npm v12, estimé pour juillet 2026. Par défaut, allowScripts sera désactivé, empêchant l'exécution de scripts preinstall, install et postinstall des dépendances, incluant les builds node-gyp natifs. Les flags --allow-git et --allow-remote seront définis sur 'none', bloquant les dépendances Git et URLs distantes. Ces changements visent à améliorer la sécurité en fermant des voies d'exécution de code. Les développeurs peuvent tester avec npm 11.16.0+ qui affiche des avertissements. La commande npm approve-scripts permet d'autoriser explicitement les packages de confiance, les configurations étant sauvées dans package.json.