npm 批量受信任发布配置和脚本安全现已正式提供

Source: GitHub Changelog

npm CLI v11.10.0+ 中的新功能

今天在 npm CLI v11.10.0+ 中提供了两个新功能：

• OIDC 受信任发布的批量配置：维护者现在可以使用 npm trust 命令一次性为多个包添加或更新受信任发布配置，而不必对每个包单独进行配置。

• npm install 的新 --allow-git 标志：Git 依赖（直接或传递）可以包含 .npmrc 文件来覆盖 Git 可执行文件路径。这会在使用 --ignore-scripts 时仍然导致任意代码执行。新的 --allow-git 标志让您能够显式控制此行为。

该标志默认值为 all 以保持向后兼容，但我们强烈建议现在使用 --allow-git=none，仅在确实需要 Git 依赖时才重新启用：

npm install --allow-git=none

--allow-git=none 预计将在 npm CLI v12 中成为默认设置。有关详细信息，请参阅 npm install –allow-git 文档。

加入 GitHub Community 的讨论。