npm v12 में सुरक्षा संबंधी बड़े बदलाव आने वाले हैं
मूल शीर्षक: Upcoming breaking changes for npm v12
यह क्यों महत्वपूर्ण है
npm के सुरक्षा मानक बढ़ने से JavaScript ecosystem में supply chain attacks का जोखिम कम होगा
GitHub ने घोषणा की कि npm v12 में जुलाई 2026 में रिलीज़ होने वाले सुरक्षा-केंद्रित बदलाव होंगे। allowScripts डिफ़ॉल्ट रूप से बंद होगा, Git और remote dependencies के लिए स्पष्ट अनुमति आवश्यक होगी।
npm v12 में तीन मुख्य सुरक्षा बदलाव किए जा रहे हैं। पहला, allowScripts डिफ़ॉल्ट रूप से बंद हो जाएगा, जिससे npm install अब dependencies से preinstall, install या postinstall scripts को तब तक execute नहीं करेगा जब तक वे स्पष्ट रूप से अनुमतित न हों। इसमें native node-gyp builds भी शामिल हैं। दूसरा बदलाव यह है कि --allow-git डिफ़ॉल्ट रूप से none हो जाएगा, जिससे Git dependencies को स्पष्ट अनुमति के बिना resolve नहीं किया जाएगा। तीसरा, --allow-remote भी डिफ़ॉल्ट रूप से none होगा, जो https tarballs जैसे remote URLs से dependencies को रोकेगा। तैयारी के लिए npm 11.16.0+ पर upgrade करके warnings देखें और npm approve-scripts --allow-scripts-pending command का उपयोग करके trusted packages को approve करें। ये सभी बदलाव npm 11.16.0+ में warnings के रूप में उपलब्ध हैं।