npm v12の重大な変更が2026年7月リリース予定
原題: Upcoming breaking changes for npm v12
なぜ重要か
パッケージ管理ツールのセキュリティ強化により、サプライチェーン攻撃対策が向上し開発環境の安全性が大幅改善される
GitHubがnpm v12で実装予定の破壊的変更を発表した。2026年7月リリース予定で、セキュリティ強化のためallowScriptsをデフォルトでオフに、Git依存関係やリモートURL依存関係の解決も明示的許可が必要になる。現在npm 11.16.0以降で警告表示により事前準備が可能。
GitHubはnpmの次期メジャーバージョンv12で実装される破壊的変更について発表した。2026年7月のリリースを予定しており、セキュリティ関連のデフォルト動作が大幅に変更される。主な変更点は3つ。第一に、allowScriptsがデフォルトでオフになり、npm installが依存関係のpreinstall、install、postinstallスクリプトを自動実行しなくなる。これにはnode-gypビルドも含まれ、binding.gypを持つパッケージも明示的許可なしでブロックされる。第二に、--allow-gitがデフォルトで無効となり、Git依存関係の解決には明示的許可が必要になる。これは2026年2月18日に事前告知済みで、npm 11.10.0以降で利用可能。第三に、--allow-remoteもデフォルトで無効となり、HTTPSターボールなどリモートURLからの依存関係解決にも明示的許可が必要になる。この機能はnpm 11.15.0以降で提供されている。開発者は事前準備として、npm 11.16.0以降にアップグレードし、通常のインストールを実行して警告を確認することが推奨される。npm approve-scripts --allow-scripts-pendingコマンドでスクリプト実行予定のパッケージを確認し、信頼できるものを承認してpackage.jsonにコミットする必要がある。