npm 대량 신뢰 퍼블리싱 구성 및 스크립트 보안, 이제 일반 제공

Source: GitHub Changelog

npm CLI v11.10.0+의 새로운 기능

오늘부터 npm CLI v11.10.0+(https://docs.npmjs.com/cli/v11/)에서 두 가지 새로운 기능을 사용할 수 있습니다.

• OIDC 신뢰 퍼블리싱을 위한 일괄 구성: 유지 관리자는 이제 각 패키지를 개별적으로 설정하는 대신, npm trust 명령을 사용해 여러 패키지에 걸쳐 신뢰 퍼블리싱 구성을 한 번에 추가하거나 업데이트할 수 있습니다.

• npm install용 새로운 --allow-git 플래그: Git 의존성(직접 또는 전이적)에는 git 실행 파일 경로를 재정의하는 .npmrc 파일이 포함될 수 있습니다. 이는 --ignore-scripts를 사용하더라도 설치 중 임의 코드 실행을 가능하게 합니다. 새로운 --allow-git 플래그를 통해 이 동작을 명시적으로 제어할 수 있습니다.

이 플래그는 이전 호환성을 위해 기본값이 all로 설정되어 있지만, 이제는 --allow-git=none을 사용하고 Git 의존성이 실제로 필요할 때만 다시 활성화하는 것을 강력히 권장합니다:

npm install --allow-git=none

--allow-git=none은 npm CLI v12에서 기본값이 될 예정입니다. 자세한 내용은 npm install –allow-git 문서를 참고하세요.

GitHub Community에서 토론에 참여하세요.