npm v12 Hadirkan Perubahan Keamanan Breaking Changes
Judul asli: Upcoming breaking changes for npm v12
Mengapa Ini Penting
Meningkatkan keamanan supply chain dengan memblokir eksekusi script otomatis
npm v12 yang dirilis Juli 2026 akan mengubah default keamanan pada npm install. allowScripts dinonaktifkan default, dependency Git dan remote URL diblokir kecuali diizinkan eksplisit untuk mencegah eksekusi kode berbahaya.
GitHub mengumumkan npm v12 akan menghadirkan breaking changes terkait keamanan pada Juli 2026. Perubahan utama meliputi allowScripts yang default off sehingga script preinstall, install, dan postinstall tidak dijalankan kecuali diizinkan eksplisit. Flag --allow-git dan --allow-remote juga default none untuk memblokir dependency Git dan remote URL. Perubahan tersedia dengan warning di npm 11.16.0+ untuk persiapan upgrade. Developer dapat menggunakan npm approve-scripts untuk melihat dan menyetujui package yang dipercaya, dengan allowlist disimpan di package.json. Langkah ini menutup celah eksekusi kode dimana dependency Git bisa override executable Git melalui .npmrc meski menggunakan --ignore-scripts.