pnpm 11.4 closes a cluster of supply-chain holes around lockfile integrity, credential scoping, git resolutions, patch files, and dependency aliases, makes tarball-integrity mismatches a hard install failure by default (with a narrowly-scoped --update-checksums opt-in), and changes pnpm runtime set to write to devEngines.runtime instead of engines.runtime by default.

次要更改​

Tarball-integrity mismatches are now a hard failure​

Previously, pnpm install (non-frozen) would log ERR_PNPM_TARBALL_INTEGRITY when a downloaded tarball's hash didn't match the lockfile, silently re-resolve from the registry, and overwrite the locked integrity. A compromised registry, proxy, or republished version could therefore substitute attacker-controlled content on a clean machine even though the project shipped a committed lockfile.

pnpm install now exits with ERR_PNPM_TARBALL_INTEGRITY and a hint pointing at the new opt-in flag.

The only opt-in is pnpm install --update-checksums — narrowly scoped to refreshing the locked integrity values from what the registry currently serves. It mirrors yarn's flag of the same name. A warning still prints when the bypass takes effect so the operation is auditable.

--force and pnpm update deliberately do not bypass the integrity check. They are routine refresh operations; silently overwriting a locked integrity in those flows would erase the protection a committed lockfile is supposed to provide. --frozen-lockfile behavior is unchanged. --fix-lockfile keeps its documented purpose (filling in missing lockfile entries) and is also not a bypass.

pnpm runtime set writes to devEngines.runtime by default​

pnpm runtime set <name> <version> now saves the runtime to devEngines.runtime by default instead of engines.runtime. Pass --save-prod (or -P) to save it to engines.runtime instead. See #11948.

补丁更改​

Security: unscoped credentials no longer leak across registries​

An unscoped _authToken (or _auth, or username + _password, or tokenHelper) defined in one source — ~/.npmrc, ~/.config/pnpm/auth.ini, a workspace .npmrc, CLI flags, etc. — would be sent as an Authorization header to whichever registry a different (potentially untrusted) source named. The same exposure extended to client TLS credentials (cert, key).

pnpm now rewrites each unscoped per-registry setting (_authToken, _auth, username, _password, tokenHelper, cert, key) to its URL-scoped form at load time, using the registry= value declared in the same source (or the npmjs default registry if the source declares none). A later layer overriding registry= therefore cannot pull an unscoped credential along, because it is already pinned to the URL its author intended. ca / cafile are intentionally not rescoped — they're trust anchors, not credentials, and corporate MITM-proxy setups rely on them applying globally.

Every rescope emits a deprecation warning telling the user where the setting was pinned and how to write it directly. npm has rejected unscoped credentials outright since npm@9, and pnpm intends to remove support in a future major release. To target a specific registry, write the setting URL-scoped:

//registry.example.com/:_authToken=...
//registry.example.com/:cert=...

Security: lockfile entries without integrity are rejected​

Previously, the worker that extracts a downloaded tarball skipped hash verification when no integrity was supplied and minted a fresh one from the unverified bytes. An attacker who could both alter the lockfile (e.g. via a pull request that strips integrity:) and serve modified content at the referenced tarball URL could install a tampered package without any error — including under --frozen-lockfile.

pnpm now fails closed at lockfile-read time with ERR_PNPM_MISSING_TARBALL_INTEGRITY. Git-hosted tarballs (gitHosted: true or a URL on codeload.github.com / bitbucket.org / gitlab.com) and file: tarballs are exempt — the commit SHA in a git-host URL and the user-controlled local path already anchor the bytes.

Security: git resolutions reject non-SHA commit fields​

Git resolutions whose commit field is not a 40-character hexadecimal SHA are rejected before git is invoked. A malicious lockfile could otherwise smuggle a value such as --upload-pack=<command> through git fetch / git checkout, which on SSH or local-file transports executes the supplied command.

Security: patch files writing outside the package directory are rejected​

Patch files whose diff --git headers reference paths outside the patched package directory are now rejected. Previously a malicious .patch file added via a pull request could write, delete, or rename arbitrary files reachable by the user running pnpm install.

Security: dependency aliases with path-traversal segments are rejected​

Dependency aliases that contain path-traversal segments (such as @x/../../../../../.git/hooks) are rejected when read from a package manifest or symlinked into node_modules. A malicious registry package could otherwise use a transitive dependency key to make pnpm install create symlinks at attacker-chosen paths outside the intended node_modules directory.

Trusted-publisher metadata now requires provenance​

Trusted publisher metadata is only treated as the strongest trust evidence when provenance is also present.

Other fixes​

• Fix pnpm deploy crashing with ENOENT: ... lstat '<deployDir>/node_modules' when configDependencies declares pacquet (pacquet or @pnpm/pacquet). The deploy directory never installs config dependencies, so the install engine they designate isn't on disk to invoke; the nested install now skips them.
• Limit concurrent project manifest reads while listing large workspaces to avoid EMFILE errors.
• Validate devEngines.runtime and engines.runtime version ranges for node, deno, and bun when onFail is set to error or warn. Previously these settings only had an effect with onFail: 'download' — the error and warn modes silently did nothing #11818. Violations now throw ERR_PNPM_BAD_RUNTIME_VERSION.
• Improve the log message that pnpm prints after auto-adding entries to minimumReleaseAgeExclude when minimumReleaseAge is set without minimumReleaseAgeStrict. The message previously referred to the internal "loose mode" terminology, which wasn't searchable in the docs; it now tells the user to set minimumReleaseAgeStrict to true if they want these updates gated behind a prompt instead #11747.

pnpm 11.3 adds support for npm's staged publishing (pnpm stage), the new trustLockfile setting for skipping the supply-chain verification pass on already-trusted lockfiles, and native implementations of pnpm pkg, pnpm repo, and pnpm set-script. It also adds a --skip-manifest-obfuscation flag for pack / publish and cuts the memory footprint of minimumReleaseAge / trustPolicy verification on large workspaces.

次要更改​

pnpm stage​

A new pnpm stage command brings npm's staged publishing workflow to pnpm. Staged publishing lets you publish a version that's hidden from npm install until you explicitly approve it — useful for verifying release artifacts, smoke-testing CI, or coordinating multi-package releases.

The available subcommands are:

pnpm stage publish    # publish a version into staging
pnpm stage list       # list staged versions
pnpm stage view       # view a staged version
pnpm stage approve    # promote a staged version to the registry
pnpm stage reject     # discard a staged version
pnpm stage download   # download a staged tarball

trustLockfile​

A new trustLockfile setting controls whether pnpm install re-applies the minimumReleaseAge / trustPolicy: 'no-downgrade' checks to every entry in the loaded lockfile. When true, the install treats the lockfile as already-trusted and skips the verification pass — useful for closed-source projects where every commit comes from a trusted author. The default is false, so verification stays on by default.

Set it in pnpm-workspace.yaml:

trustLockfile: true

This release also cuts the memory footprint of the verification pass itself: the per-(registry, name) trust-meta cache previously retained the full packument — dependency graphs, scripts, README, and per-version manifests — for the entire install. On large workspaces (~4k lockfile entries with minimumReleaseAge + trustPolicy: no-downgrade enabled) this could OOM CI runners with a 2 GB heap cap. The cache now stores only the fields the trust check actually reads (time, per-version _npmUser.trustedPublisher, dist.attestations.provenance); the abbreviated-metadata cache is similarly projected to just the package-level modified field and the set of currently-listed version names. 修复 #11860。

Native pnpm pkg, pnpm repo, and pnpm set-script​

Three more commands that previously delegated to (or were missing without) npm are now implemented natively, following the npm command conventions:

• pnpm pkg — get / set / delete fields in package.json.
• pnpm repo — open the repository URL of a package in the browser.
• pnpm set-script (alias ss) — add or update an entry in the scripts field of the project manifest. Supports package.json, package.json5, and package.yaml formats.

--skip-manifest-obfuscation for pack and publish​

A new --skip-manifest-obfuscation flag for pnpm pack and pnpm publish keeps the original packageManager field and publish lifecycle scripts in the packed/published manifest instead of stripping them. The pnpm-specific pnpm field continues to be omitted.

补丁更改​

• Fixed pnpm dlx failing with ERR_PNPM_NO_IMPORTER_MANIFEST_FOUND when the installed package's CAS slot is missing its package.json. Observed in the wild for pnpm dlx node@runtime:<version> when the GVS slot was populated without the synthesized manifest runtime archives need. dlx now falls back to the scopeless package name when the slot's manifest is unreadable — for single-bin packages (the dlx common case, including every runtime: spec) this matches what manifest.bin would have named.
• Fixed non-determinism in pnpm dedupe and pnpm install when a dependency graph contains packages with transitive peer dependencies on each other (e.g. @aws-sdk/client-sts and @aws-sdk/client-sso-oidc) and auto-install-peers is enabled. The lockfile no longer flips between two equally-valid forms across consecutive runs. The root cause was that resolveDependencies pushed onto its pkgAddresses / postponedResolutionsQueue arrays from inside Promise.all-spawned callbacks, so completion-order timing leaked into the array order and downstream cyclic-peer suffix assignment. 修复 #8155。
• Fixed a regression where pnpm add <github-shorthand> (and any other wanted-dependency whose alias can't be parsed from the user-supplied spec, e.g. tarball URLs or pnpm/test-git-fetch#sha) was silently dropped from the manifest update and from pendingBuilds.
• Fixed pnpm add --config leaving orphan entries in pnpm-lock.env.yaml (the optional subdependencies of the previously resolved version of the updated config dependency).

pnpm 11.2 引入了实验性的选择加入 pacquet（pnpm 的 Rust 移植版）作为安装后端，扩展了 配置依赖项 以安装一层 optionalDependencies（因此 esbuild/swc 平台二进制模式也适用于配置依赖项），连接了文档中长期存在的 pnpm login --scope 标志，并在 pnpm outdated 和 pnpm update --interactive 中显示运行时入口（Node.js、Deno、Bun）。

次要更改​

实验性：使用 pacquet 作为安装后端​

现在，在 pnpm-workspace.yaml 的 configDependencies 中添加 @pnpm/pacquet（pnpm 的 Rust 移植版），即可将 pnpm install 的清单化阶段委托给 pacquet 二进制文件。 pnpm 仍然负责依赖项解析；pacquet 只从新写入的锁文件中获取和导入。 这是 Rust 安装引擎的可选预览版——参见 #11723。

要在项目中配置 pacquet，请运行：

pnpm add @pnpm/pacquet --config

你会看到 pnpm-workspace.yaml 和 pnpm-lock.yaml 中需要提交的更改。 如果你在使用 pacquet 时遇到任何问题，请在你创建的 GitHub 议题中告知我们。

optionalDependencies 用于配置依赖项​

配置依赖项 现在解析并安装由配置依赖项声明的一级 optionalDependencies，并在安装时应用 os / cpu / libc 平台过滤。 这解锁了 esbuild/swc 风格的模式，其中软件包通过 optionalDependencies 分发特定于平台的二进制文件——现在配置依赖项也可以这样做，并将匹配的二进制文件符号链接到全局虚拟存储中的它旁边，因此配置依赖项内部的 require('pkg-platform-arch') 可以正确解析。

环境锁文件会记录所有平台变体，而不管主机平台如何，因此它可以在不同机器之间保持可移植性。 配置依赖项的 optionalDependencies 中的每个条目都必须声明一个确切的版本——为了保持安装的可重现性，范围和标签将被拒绝。

pnpm login --scope​

早已记录在案的 pnpm login --scope <scope> 标志现已实现。 作用域已规范化（如果缺少前导 @，则添加 @；忽略空白值），并且 @<scope>:registry=<registry> 映射与身份验证令牌一起写入 pnpm 身份验证文件。 后续安装的 @<scope>/* 软件包将路由到选定的注册源。 之前此记录标志出现错误，提示 Unknown option: 'scope'。 请参阅 #11716。

outdated 和 update --interactive 中的运行时​

pnpm outdated 和 pnpm update --interactive 现在报告 Node.js、Deno 和 Bun 运行时已作为项目依赖项安装（runtime: 说明符）。 以前这些都是静默地跳过的。

补丁更改​

• 修复了当从不同的当前工作目录调用 pnpm 时（例如从 CI 包装器或 monorepo 脚本调用 pnpm --dir <project> install），.npmrc 中的 cafile=<relative-path> 从错误的目录读取的问题。 现在路径是根据声明它的 .npmrc 目录来解析的，而不是根据 process.cwd()。 在此修复之前，安装程序在没有配置 CA 的情况下继续运行，用户只会看到针对私有注册源的 TLS 错误，而没有日志行与错误解析的路径关联 #11624。
• 修复了当在 .npmrc 中设置了 registry 并且 pnpm-workspace.yaml 没有提供 registries.default 时，config.registry 会附加尾部斜杠的问题。
• 修复了全局添加/更新操作，使其能够处理 minimumReleaseAge 策略违规，而不是抛出内部解析器防护错误。
• 修复了当锁文件被清理（例如通过 turbo prune --docker）时，使用 injectWorkspacePackages: true 会导致的两个崩溃：一个是当对等依赖变体的基础 packages: 条目已被删除时，其注入的快照遇到 Cannot use 'in' operator to search for 'directory' in undefined；另一个是在 prepare / postinstall 重新导入每个注入的工作区包之后，在 node_modules/.bin/<tool> 上出现 ERR_PNPM_ENOENT。
• 修复了 pnpm login 和 pnpm logout 忽略 pnpm-workspace.yaml 中的 registries.default 的问题 #10099。
• 修复了 minimumReleaseAge (publishedBy) 成熟度快捷方式，使其包含截止时间。 以前，modified 字段等于截止值的缩写元数据会脱离快速路径，并触发完整元数据重新获取（或者在不允许完整元数据时触发 MISSING_TIME 错误）。
• 发布软件包时遵守 publishConfig.access。

11.2.1​

• 在环境锁文件中，使用 optional: true 标记可选的配置依赖项子依赖项快照，以匹配 pnpm-lock.yaml 中其他地方记录可选依赖项的方式。 以前，通过配置依赖项的 optionalDependencies 拉取的平台特定子依赖项的快照会被写为空对象。
• Fixed pickRegistryForPackage returning the wrong registry for an unscoped npm: alias under a scoped local name. A manifest entry like "@private/foo": "npm:lodash@^1" was routing the lodash fetch through registries["@private"], even though lodash is unscoped.
• Don't print Installing config dependencies... when config dependencies are already installed and nothing needs to be fetched, re-linked, or removed.

11.2.2​

• When the install engine is delegated to pacquet via configDependencies, the user's CLI flags passed to pnpm install (e.g. --no-runtime, --prod, --dev, --no-optional, --node-linker, --cpu / --os / --libc, --offline, --prefer-offline) are now forwarded to pacquet's install subcommand verbatim. Previously pacquet was invoked with a fixed argument list, so flags like --no-runtime were silently dropped. Flag forwarding is gated on the command being install / i; add, update, and dedupe still don't forward (their flag surface doesn't line up with pacquet's install).
• Fixed pnpm up (and pnpm add / pnpm remove) failing with pacquet_package_manager::outdated_lockfile when pacquet is declared in configDependencies. pnpm now passes --ignore-manifest-check to pacquet so its --frozen-lockfile check doesn't fire against the (pre-mutation) package.json pnpm hasn't written yet #11797.

pnpm 11.1 新增了一些命令——pnpm audit signatures、pnpm bugs 和 pnpm owner——同时还支持从任意名称的注册表安装（包括 GitHub Packages npm 注册源的内置别名），能够在 CI 中跳过运行时安装，以及修复了一些问题。

次要更改​

pnpm audit signatures​

一个新的 pnpm audit signatures 子命令会根据 /-/npm/v1/keys #7909 上发布的密钥，验证已安装软件包的 ECDSA 注册源签名。 会尊重已定义范围的注册表；不会发布签名密钥的注册表将被跳过。

pnpm audit signatures

命名注册表（以及内置的 gh: 别名）​

现在，你可以通过内置的 gh: 前缀从 GitHub Packages npm 注册表 安装软件包，更广泛地说，还可以像 vlt 的命名注册源别名 那样，从任意命名的注册表安装软件包：

pnpm add gh:@acme/private

身份验证来自现有的每个 URL 的 .npmrc 条目（例如 //npm.pkg.github.com/:_authToken=...），因此不需要单独的身份验证机制。

可以在 pnpm-workspace.yaml 文件中的 namedRegistries 下配置其他别名，或者覆盖内置的 gh 别名（例如 GitHub Enterprise Server）：

namedRegistries:
  gh: https://npm.pkg.github.example.com/
  work: https://npm.work.example.com/

这样，work:@corp/lib@^2.0.0 就对应到 https://npm.work.example.com/。 请参阅 #8941。

--sbom-spec-version​

pnpm sbom 现在接受一个 --sbom-spec-version 标志来选择 CycloneDX 规范版本（1.5、1.6 或 1.7 — 默认为 1.7）。 该标志仅在使用 --sbom-format cyclonedx 时有效。 请参阅 #11389。

用于 CI 矩阵的 --no-runtime​

新增的 --no-runtime 标志（配置：runtime=false）会跳过安装运行时条目（例如通过 devEngines.runtime 下载的 Node.js），而不会修改锁文件。 锁文件保留了运行时条目，因此冻结锁文件验证仍然通过；只是跳过了运行时获取和 .bin 链接。 这在 CI 矩阵中很有用，运行时是在外部配置的（例如，通过 pnpm runtime -g set node <version> ），然后再运行 pnpm install。

pnpm bugs​

新的 pnpm bugs 命令会在浏览器中打开软件包的 bug 跟踪器 URL。 不带任何参数时，它会读取当前项目的 package.json；带一个或多个包名时，它会从注册表中获取每个包的元数据并打开其错误跟踪器。 当缺少 bugs 字段时，它会回退到 <repository>/issues。 请参阅 #11279。

pnpm owner​

新的 pnpm owner 命令用于管理注册源中的包所有者：

pnpm owner ls <package>
pnpm owner add <package> <user>
pnpm owner rm <package> <user>

补丁更改​

• pnpm view 现在会在其输出的其余部分旁边打印“由 Y 于 X 年前发布”，同步 npm view 表现。 在与 minimumReleaseAge 进行比较时，这很有用。 例如，pnpm view pnpm 现在显示 published 17 hours ago by GitHub Actions。

• pnpm publish 现在会在基于 Web 的身份验证流程期间轮询注册表的 doneUrl 时，遵循已配置的 HTTP/HTTPS 代理（包括 https_proxy / http_proxy / no_proxy 环境变量）。 之前轮询绕过了代理，导致注册源不同的源 IP 响应 403，登录永远无法完成 #11561。

• pnpm add -g 现在默认将每个以空格分隔的包安装到其自己的独立目录中。 要将多个软件包捆绑到同一个隔离的安装中（以便它们共享依赖项并一起删除），请将它们作为逗号分隔的列表传递。 例如：

  • pnpm add -g foo bar 将 foo 和 bar 安装为两个独立的全局变量——删除其中一个不会影响另一个。
  • pnpm add -g foo,bar qar 将 foo 和 bar 捆绑到一个独立的安装包中，而 qar 则单独安装。

  相关：#11587。

• pnpm runtime set <name> <version> 在多包工作区的根目录中不再出现 ADDING_TO_ROOT 错误。 安装工作区根目录是运行时的有效目标，因此该命令现在绕过了该安全检查。

• 修复了在打印版本信息后，pnpm --version 在工作池生命周期内一直挂起的问题。 CLI 条目现在从它自己的 finally 中运行 finishWorkers()，因此每个退出路径都会销毁池。

pnpm 11 来了！ 此版本加强了 v10 周期中引入的安全默认设置，放弃了 npm CLI 发布回退，转而采用原生实现，将每个包的 JSON 存储索引替换为单个 SQLite 数据库，并将全局安装隔离，使其不再相互干扰。

它还需要 Node.js 22 或更高版本——pnpm 本身现在是纯 ESM。

从 v10 升级？ 请参阅 从 v10 迁移到 v11 指南。 大多数配置更改都是机械性的，可以通过 pnpm-v10-to-v11 代码转换来应用。

亮点​

• 需要 Node.js 22+。 已停止支持 Node 18、19、20 和 21。 独立可执行文件需要 glibc 2.27 或更高版本。
• 供应链保护默认开启。 minimumReleaseAge 默认为 1440（1 天），blockExoticSubdeps 默认为 true。
• allowBuilds 取代了旧版构建依赖项设置。 onlyBuiltDependencies、onlyBuiltDependenciesFile、neverBuiltDependencies、ignoredBuiltDependencies 和 ignoreDepScripts 已移除。
• 全局安装是隔离的，默认情况下使用全局虚拟存储。 每个 pnpm add -g 都会获得自己的目录，其中包含自己的 package.json、node_modules 和 lockfile。
• 新的 SQLite 支持的存储索引（存储 v11），捆绑了清单和十六进制摘要，减少了系统调用，加快了安装速度。
• Native publish flow. pnpm publish, login, logout, view, deprecate, unpublish, dist-tag, and version no longer delegate to the npm CLI.
• .npmrc 仅用于身份验证/注册源。 其他设置必须放在 pnpm-workspace.yaml 或新的全局 config.yaml 中。 环境变量使用 pnpm_config_* 前缀。

破坏性改动​

需求​

• 不支持 Node.js 18、19、20 和 21。
• pnpm 现在以纯 ESM 格式分发。
• 独立可执行文件需要 glibc 2.27+。

安全和构建默认值​

多项默认值已翻转为更安全的值：

新发布的软件包至少要过 1 天才能被解析。 若要选择退出，在 pnpm-workspace.yaml 中设置 minimumReleaseAge: 0。

allowBuilds 取代了旧的构建设置​

onlyBuiltDependencies、onlyBuiltDependenciesFile、neverBuiltDependencies、ignoredBuiltDependencies 和 ignoreDepScripts 都已被移除。 请改用 allowBuilds — 一个从包名称模式到布尔值的映射：

之前：

onlyBuiltDependencies:
  - electron
onlyBuiltDependenciesFile: "allowed-builds.json"
neverBuiltDependencies:
  - core-js
ignoredBuiltDependencies:
  - esbuild

之后：

allowBuilds:
  electron: true
  core-js: false
  esbuild: false

同时移除了：allowNonAppliedPatches（使用 allowUnusedPatches）和ignorePatchFailures（补丁失败现在会抛出异常）。

.npmrc 仅用于身份验证/注册源​

pnpm 不再从 .npmrc 读取非身份验证设置。 配置分为两类：

• 注册源和认证设置 — INI 文件（.npmrc, 全局rc文件, ~/.config/pnpm/auth.ini）。
• pnpm 特定设置 — YAML 文件（pnpm-workspace.yaml，新的全局 ~/.config/pnpm/config.yaml）。

其他相关变更：

• pnpm 不再读取 npm_config_* 环境变量。 请改用 pnpm_config_*（例如 pnpm_config_registry）。

• pnpm 不再读取 package.json 中的 pnpm 字段。

• pnpm 不再读取 npm 的全局配置，位于 $PREFIX/etc/npmrc。

• 网络设置（httpProxy、httpsProxy、noProxy、localAddress、strictSsl、gitShallowHosts）现在写入到 config.yaml / pnpm-workspace.yaml 中（仍然从 .npmrc 中读取以平滑迁移）。

• pnpm-workspace.yaml 文件中新增的 registries 设置替换了 @scope:registry= 行：

  registries:
    default: https://registry.npmjs.org/
    "@my-org": https://private.example.com/
    "@internal": https://nexus.corp.com/
  

• 每个项目的 .npmrc 文件被 pnpm-workspace.yaml 文件中的 packageConfigs 文件取代：

  packages:
    - "packages/project-1"
    - "packages/project-2"
  packageConfigs:
    "project-1":
      saveExact: true
    "project-2":
      savePrefix: "~"
  

原生发布流程，不再使用 npm CLI 回退方案​

以前通过传递给 npm CLI 实现的命令要么已经以原生方式重新实现，要么已经移除。

Reimplemented: publish, view (info, show, v), login (adduser), logout, deprecate, unpublish, dist-tag, version, search, star/unstar/stars, whoami, ping, docs/home.

已移除（现在抛出“未实现”）：access、bugs、edit、issues、owner、prefix、profile、pkg、repo、set-script、team、token、xmas。

关于新的原生 pnpm publish 的一些说明：

• OTP 环境变量现在是 PNPM_CONFIG_OTP（以前是 NPM_CONFIG_OTP）。
• 如果注册源要求提供 OTP 但未提供，pnpm 将以交互方式提示输入 OTP。
• 基于网页的身份验证会显示可扫描的二维码和网址。

pnpm audit 使用批量建议端点​

注册源已停用旧版 /-/npm/v1/security/audits{,/quick} 端点。 pnpm audit 现在调用 /-/npm/v1/security/advisories/bulk，该命令不返回 CVE 标识符——因此，基于 CVE 的过滤已被基于 GHSA 的过滤所取代：

• auditConfig.ignoreCves → auditConfig.ignoreGhsas
• pnpm audit --ignore <id> 和 --ignore-unfixable 读取和写入 GHSA

要进行迁移，请将 ignoreCves 下的每个 CVE-YYYY-NNNNN 条目替换为匹配的 GHSA-xxxx-xxxx-xxxx（在 pnpm audit 的 More info 列中可见），并将其移动到 ignoreGhsas。

孤立的、全局虚拟存储的全局安装​

pnpm add -g <pkg> 和 pnx 现在使用全局虚拟存储，并且每个安装都会在 {pnpmHomeDir}/global/v11/{hash}/ 获得自己的独立目录，其中包含自己的 package.json、node_modules/ 和锁文件。 这样可以防止全局包之间因对等依赖冲突、提升更改或版本错位而相互干扰。

• pnpm remove -g <pkg> 会删除包含该软件包的整个安装组。
• pnpm update -g [pkg] 会将软件包重新安装到一个新的隔离目录中。
• pnpm list -g 扫描隔离目录。
• pnpm install -g（不带参数）不再受支持——请使用 pnpm add -g <pkg>。

全局安装的二进制文件现在位于 PNPM_HOME 的 bin 子目录中（而不是直接位于 PNPM_HOME 中），因此像 global/ 和 store/ 这样的内部目录不会污染 shell 自动补全。 升级后运行 pnpm setup 以更新 shell 配置。

pnpm link 也进行了收紧：只接受相对路径或绝对路径，移除了 --global（使用 pnpm add -g .），并且移除了不带参数的 pnpm link。

其他移除​

• pnpm server.

• useNodeVersion 和 executionEnv.nodeVersion — 使用 devEngines.runtime / engines.runtime。

• hooks.fetchers — 已被 pnpmfile 中的新 fetchers 字段取代。

• managePackageManagerVersions、packageManagerStrict 和 packageManagerStrictVersion。 这些都继承了旧版 packageManager 字段的 onFail 行为；新的 pmOnFail 设置包含了它们：

  已移除	替换为
  managePackageManagerVersions: true	pmOnFail: download（默认）
  managePackageManagerVersions: false	pmOnFail: ignore
  packageManagerStrict: false	pmOnFail: warn
  packageManagerStrictVersion: true	pmOnFail: error
  COREPACK_ENABLE_STRICT=0	pmOnFail: warn

新命令​

Plus the natively reimplemented commands listed under "Native publish flow" above, and short aliases pn for pnpm and pnx for pnpx/pnpm dlx.

pnpm audit --fix=update​

通过更新锁文件 中的软件包来修复易受伤害性，而不是添加覆盖。 为了实现更精细的控制，新增的 --interactive / -i 标志允许你选择要修复的警示：

pnpm audit --fix=update --interactive

pnpm audit --fix 还会将每个安全公告的最小补丁版本添加到 pnpm-workspace.yaml 中的 minimumReleaseAgeExclude，这样就可以在不等待 minimumReleaseAge 的情况下安装安全修复程序。

ESM pnpmfiles​

现在可以使用 .mjs 扩展名以 ESM 格式编写 pnpmfiles。 当 .pnpmfile.mjs 存在时，它的优先级高于 .pnpmfile.cjs，并且只会加载其中一个。

存储 v11​

该存储的重建围绕两个理念展开：减少读取，减少系统调用。

• 现在，软件包索引是一个位于 $STORE/index.db 的单个 SQLite 数据库（具有 MessagePack 值，WAL 模式用于并发访问），而不是位于 $STORE/index/ 下的数百万个 JSON 文件。 新索引中缺失的软件包会根据需要重新获取。
• 捆绑清单（名称、版本、bin、引擎、脚本等） 直接存储在软件包索引中，无需在解析和安装过程中从 CAS 读取 package.json。
• 索引条目存储十六进制摘要，而不是完整的完整性字符串（<algo>-<digest>），并且哈希算法每个文件记录一次，而不是每个条目记录一次。 这样可以避免每次 CAS 路径查找时进行 base64 → hex 转换。
• 启用全局虚拟存储后，不允许构建的软件包（并且不间接依赖于允许构建的软件包）将获得不包含引擎名称（平台、架构、Node.js 主版本号）的哈希值。 现在约 95% 的 GVS 包无需重新导入即可在 Node.js 升级和架构变更后继续保留。

性能​

许多小胜利增加了一个明显更快的安装：

• undici 取代了 node-fetch 用于所有 HTTP 请求，具有 Happy Eyeballs（双栈）、更好的 keep-alive 和优化的全局调度器。
• 已知大小的 Tarball 下载会预先分配内存，以避免重复复制带来的开销。
• 元数据缓存现在采用 NDJSON 格式，并带有 If-Modified-Since 以进行条件获取。
• minimumReleaseAge 检查使用 简化的元数据 端点来获取更少的信息。
• CAS 文件直接写入其内容寻址路径，而不是通过临时文件 + 重命名 — 每次冷安装可节省约 30k 次重命名系统调用。
• 导入到 node_modules 时，暂存目录消失了。
• CAS 中的热路径字符串操作得到了加强，gunzipSync 运行时使用更大的块大小，以减少 tarball 解压缩期间的缓冲区分配。
• 在 GVS 热重装过程中，如果没有添加任何软件包，则会跳过冗余的内部链接。

更精简的运行时安装​

通过 node@runtime:<version>（包括 pnpm env use 和 pnpm runtime set node）安装 Node.js 运行时不再从 Node.js 归档中提取捆绑的 npm、npx 和 corepack。 这大约减少了一半数量的pnpm需要哈希、写入CAS和链接的文件。 如果仍然需要 npm，请将其作为单独的软件包安装。

其他重要改动​

• 更清晰的脚本输出。 pnpm 现在打印 $ command（到 stderr，因此 stdout 保持管道友好），而不是 > pkg@version stage path\n> command。 只有在不同目录下运行时才会显示项目名称和路径。

• 安装过程中，对等依赖关系问题不再以树状结构呈现——pnpm 建议运行 pnpm peers check 来查看它们。

• 生命周期脚本不再从 pnpm 配置中获取 npm_config_* 环境变量；仅设置众所周知的 npm_* 环境变量，与 Yarn 一致。

• 当启用 init-package-manager 时，pnpm init 会写入 devEngines.packageManager 而不是 packageManager，并且默认的 type 现在是 "module"。

• devEngines.packageManager 现在支持版本范围；解析后的版本存储在 pnpm-lock.yaml 中，如果仍然满足范围，则会被重用。

• dedupePeers 是一个新设置，它使用仅包含版本信息的后缀 (name@version) 而不是完整的依赖路径，从而消除具有许多递归对等项的项目的嵌套后缀，例如 (foo@1.0.0(bar@2.0.0))。

• pnpm approve-builds 现在接受用于非交互式使用的位置参数；在名称前加上 ! 即可拒绝。

• 隐藏脚本 — 以 . 开头的脚本只能从其他脚本调用，并且不会显示在 pnpm run 中。

• -F 是 --filter 的新简短别名。

• pnpm add 短标志 — -d 现在是 --save-dev，-p 是 --save-prod，-o 是 --save-optional，-e 是 --save-exact（仅在 pnpm add 内部）。

• virtualStoreOnly 在不创建导入器符号链接、提升、bin 链接或运行生命周期脚本下填充虚拟存储。 在 Nix 构建中预先填充存储很有用。 pnpm fetch 现在内部使用此功能。

• pnpm-workspace.yaml 中的 nodeDownloadMirrors 替换了 .npmrc 中的 node-mirror:<channel> 设置：

  nodeDownloadMirrors:
    release: https://my-mirror.example.com/download/release/
  

• 配置依赖项 现在已安装到 {storeDir}/links/ 中，并且符号链接到 node_modules/.pnpm-config/，因此它们可以在使用同一存储的项目之间共享。 已解析的版本和完整性哈希值已从 pnpm-workspace.yaml 移至 pnpm-lock.yaml 中的单独文档；旧的内联哈希项目会自动迁移。

升级​

有关代码转换和后续操作的完整指南，请参阅 从 v10 迁移到 v11。 简短版本：

• 升级前，请将 CI 和开发环境升级到 Node.js 22+ 版本。
• 将 pnpm 设置从 .npmrc 移到 pnpm-workspace.yaml（或全局的 ~/.config/pnpm/config.yaml）。
• 将 onlyBuiltDependencies 及其相关功能迁移到 allowBuilds。
• 将 auditConfig.ignoreCves 迁移到 auditConfig.ignoreGhsas。
• 安装 v11 后，运行 pnpm setup 来更新你的 shell，以便将新的 bin 子目录添加到 PATH 中。

完整的更改列表在 更改日志。 如果你依赖的某些功能缺失或损坏，请在 github.com/pnpm/pnpm/issues 上提交问题。

pnpm 10.32 为 pnpm approve-builds 添加了 --all 标志，用于在不显示交互式提示的情况下批准所有待处理的构建。

次要更改​

--all 标志用于 pnpm approve-builds​

为 pnpm approve-builds 添加了 --all 标志，该标志无需交互式提示即可批准所有待处理的构建 #10136。

pnpm approve-builds --all

补丁更改​

• 撤销了与显式设置 npm 配置文件路径相关的更改，该更改导致了回归问题。
• 撤销了与 lockfile-include-tarball-url 相关的修复。 修复 #10915。

pnpm 10.31 在更新 pnpm-workspace.yaml 时保留注释和格式，并包含大量错误修复。

次要更改​

保留 pnpm-workspace.yaml 中的注释​

当 pnpm 更新 pnpm-workspace.yaml 时，注释、字符串格式和空格将被保留。

补丁更改​

• 在帮助输出中添加了 -F 作为 --filter 选项的简短别名。
• 处理 pnpm why -r 中未定义的 pkgSnapshot #10700。
• 修复当项目注入自引用 file: 依赖项并在锁文件中解析为 link: 时，未使用无头安装的问题。
• 修复了多个工作线程同时将同一个包导入全局虚拟存储时出现的竞态条件。 如果另一个线程已经完成了导入，重命名操作现在可以容忍 ENOTEMPTY/EEXIST 错误。
• 当 lockfile-include-tarball-url 设置为 false 时，tarball URL 现在总是从锁文件中排除。 以前，对于托管在非标准 URL 下的软件包，tarball URL 仍然可能出现 #6667。
• 修复了当 overrides、packageExtensions、ignoredOptionalDependencies、patchedDependencies 或 peersSuffixMaxLength 更改时，optimisticRepeatInstall 跳过安装的问题。
• 修复了在 HOME 未设置或非标准环境（Docker 容器、CI 系统）中，pnpm patch-commit 失败并出现“无法访问 '/.config/git/attributes': 权限被拒绝”错误的问题 #6537。
• 修复当多个工作区包共享同一依赖项时，pnpm why -r --parseable 缺少依赖项的问题 #8100。
• 修复当请求的版本与工作区包的版本不匹配时，link-workspace-packages=true 错误地链接工作区包的问题 #10173。
• 修复pnpm update --interactive 表格与长版本字符串断开，动态计算列宽度，而不是使用硬代码值 #10316。
• --allow-build 标志设置的参数被写入 allowBuilds。
• 修复了在 pnpm-workspace.yaml 上指定 filter 会导致 pnpm 检测不到任何项目的 bug。
• 在没有参数和退出的情况下运行 pnpm dlx` 时打印帮助信息。

pnpm 10.30 重新设计了 pnpm why，以显示反向依赖关系树，从而更容易理解为什么安装了一个软件包。

次要更改​

pnpm why 中的反向依赖树​

pnpm why 现在会显示反向依赖关系树。 搜索到的软件包出现在根目录，其依赖者作为分支，一直追溯到工作区根目录。 这取代了之前的前向树输出，之前的输出对于深度嵌套的依赖关系来说噪声很大且难以阅读。

补丁更改​

• 通过在所有导入器之间共享依赖关系图和物化缓存，而不是为每个导入器独立重建它们，来优化具有许多导入器的工作区中的 pnpm why 和 pnpm list 的性能 #10596。

pnpm 10.29 为 pnpm dlx 添加了 catalog: 协议支持，允许在 pnpm-workspace.yaml 中配置 auditLevel，支持裸 workspace: 说明符，并修复了几个错误。

次要更改​

pnpm dlx 中的 catalog: 协议​

pnpm dlx / pnpx 命令现在支持 catalog: 协议，允许你引用工作区目录中定义的版本：

pnpm dlx shx@catalog:

auditLevel 设置​

现在可以在 pnpm-workspace.yaml 文件中配置 auditLevel，因此你无需在每次调用 pnpm audit 时都传递 --audit-level 参数 #10540：

auditLevel: high

裸 workspace: 协议​

现在支持不带版本范围的 workspace: 说明符。 它被视为 workspace:*，并在发布期间解析为具体版本 #10436：

{
  "dependencies": {
    "foo": "workspace:"
  }
}

补丁更改​

• 修复了在大型依赖关系图上 pnpm list（以及 pnpm why）的内存不足错误，方法是将递归树构建器替换为两阶段方法：先构建 BFS 依赖关系图，然后进行缓存树实现。 现在输出中已对重复子树进行去重 #10586。
• 修复了通过 .pnpmfile.cjs 设置时 allowBuilds 不起作用的问题 #10516。
• 当设置了 enableGlobalVirtualStore，pnpm deploy 现在会忽略它，并始终在部署目录中创建一个本地化的虚拟存储，以保持其自包含性。
• 修复了 pnpm dlx 不遵守 minimumReleaseAgeExclude 的问题 #10338。
• 修复了使用全局虚拟存储时 pnpm list --json 返回错误路径的问题 #10187。
• 修复了当 storeDir 为相对路径时，pnpm store path 和 pnpm store status 使用工作区根目录进行路径解析 #10290。
• 修复了在重新添加现有目录依赖项时，catalogMode: strict 将字面字符串 catalog: 写入 pnpm-workspace.yaml 而不是已解析的版本说明符的问题 #10176。
• 在执行 pnpm fetch 期间跳过本地 file: 协议依赖项，修复本地目录依赖项不可用时的 Docker 构建问题 #10460。
• 修复了 pnpm audit --json 以在退出代码和输出过滤器上尊重 --audit-level 设置 #10540。
• 将 tar 更新到 7.5.7 版本，以修复安全漏洞 (CVE-2026-24842)。
• 修复了 pnpm audit --fix 将引用覆盖（例如 $foo）替换为具体版本的问题 #10325。
• 修复了通过 .pnpmfile.cjs 中的 updateConfig 设置的 shamefullyHoist 未转换为 publicHoistPattern #10271。
• pnpm help 现在可以正确报告当前运行的 pnpm CLI 是否与 Node.js 捆绑在一起 #10561。
• 添加警告，当当前目录包含 PATH 分隔符字符时，可能会破坏 node_modules/.bin 路径注入 #10457。
• 修复了 pnpm completion --help 中显示的文档 URL，使其指向正确的页面 #10281。

pnpm 10.28 引入了一个新的 beforePacking 钩子，用于在发布时自定义 package.json，提高了过滤安装的性能，并修复了几个错误。

次要更改​

beforePacking 钩子​

添加了对名为 beforePacking 的新钩子的支持，允许你在发布时自定义 package.json 内容 #3816。

在运行 pnpm pack 或 pnpm publish 时，这个钩子就在创建 tarball 之前被调用。 它允许你修改将包含在已发布软件包中的软件包清单，而不会影响你本地的 package.json 文件。

.pnpmfile.cjs 中的示例用法：

module.exports = {
  hooks: {
    beforePacking(pkg) {
      // 移除仅用于开发的字段
      delete pkg.devDependencies
      delete pkg.scripts
      // 添加发布元数据
      pkg.publishedAt = new Date().toISOString()
      return pkg
    }
  }
}

有关更多详细信息，请参阅 .pnpmfile.cjs 文档。

过滤后的安装性能​

在某些情况下，使用过滤参数进行安装（即 pnpm install --filter ...）比不带任何过滤参数运行 pnpm install 的速度要慢。 此性能下降问题现已修复。 过滤后的安装速度应该与完整安装一样快或更快 #10408。

补丁更改​

• 如果存储位于项目的子目录中，则不要将指向该项目的符号链接添加到存储的项目注册表中 #10411。
• 应该可以在 pnpm-workspace.yaml 中声明 requiredScripts 设置 #10261。

pnpm 10.27 新增了一个设置，可以忽略旧版本软件包的信任策略检查，引入了一个用于全局虚拟存储修剪的项目注册表，并修复了几个错误。

次要更改​

trustPolicyIgnoreAfter​

添加 trustPolicyIgnoreAfter 可以忽略对超过指定时间发布的软件包的信任策略检查 #10352。

全局虚拟存储改进​

添加了项目注册源，以支持全局虚拟商店清理。

使用该存储的项目现在通过符号链接在 {storeDir}/v10/projects/ 中注册。 这使得 pnpm store prune 能够跟踪哪些软件包仍在被活跃项目使用，并安全地从全局虚拟存储中删除未使用的软件包。

半破坏性更改。 更改了虚拟全局存储中未限定范围的软件包的位置。 为了保持统一的 4 级目录深度，它们现在将被存储在名为 @ 的目录下。

为全球虚拟存储添加了标记清除垃圾回收功能。

pnpm store prune 现在会从全局虚拟存储的 links/ 目录中删除未使用的软件包。 算法：

1. 扫描所有已注册项目，查找指向存储的符号链接
2. 遍历传递依赖关系以标记可达包
3. 删除所有未标记为可达的软件包目录

这包括对工作区单存储库的支持——扫描项目中的所有 node_modules 目录（包括工作区包中的目录）。

补丁更改​

• 如果 tokenHelper 或 <url>:tokenHelper 设置的值包含环境变量，则抛出错误。
• 带有构建脚本的 Git 依赖项应遵循 dangerouslyAllowAllBuilds 设置 #10376。
• 如果使用 --global 运行程序并且配置了项目包管理器，则跳过包管理器检查，并发出跳过检查的警告。
• 如果 dlx 缓存目录包含文件（而不仅仅是目录），则 pnpm store prune 不应失败 #10384
• 修复了一个 bug (#9759)，其中pnpm add 错误地将一个 pnpm-workspace.yaml 目录修改为精确版本。

2025 年对于 pnpm 来说是具有变革意义的一年。 虽然我们的主要重点是重新定义软件包管理的安全模型，但我们也显著提高了性能和开发者体验。

从默认阻止生命周期脚本到引入全局虚拟存储，以下回顾一下 2025 年发布的主要功能。

使用方法​

根据 下载统计 pnpm 的下载量是 2024 年的 2 倍！

首页重新设计​

你可能已经注意到，我们重新设计了主页！ 此次重新设计得益于我们最主要的赞助商 Bit.cloud。

新的主页现在使用 Bit 组件 构建，其中很多工作都是使用 Bit 的 AI 代理 Hope AI 完成的。https://bit.cloud/pnpm/website 我们现在甚至有了自己的设计系统。

在 JSNation 上的演讲​

今年对我个人而言是一个巨大的里程碑，因为我第一次在大型国际会议——6 月在阿姆斯特丹举行的 JSNation 会议上进行了现场演讲。 我要感谢 JSNation 团队给予我这个绝佳的机会！

令我惊喜的是，pnpm 在社区中如此知名，而且有那么多人在工作中使用它！

我的演讲内容是关于配置依赖项 ，你可以在这里观看录像。

功能亮点​

现在，让我们深入了解一下 pnpm v10 在 2025 年期间发布的最重大变化。

默认安全​

今年最重要的变化是 pnpm 转向“默认安全”。 在 pnpm v10.0 中，我们不再隐式信任已安装的软件包。

阻止生命周期脚本 (v10.0)​

多年来，pnpm install 意味着信任整个依赖树来执行任意代码。 在 v10 版本中，我们关闭了此功能。 pnpm 默认情况下不再运行 preinstall 或 postinstall 脚本，从而消除了一类巨大的供应链攻击途径。

为了完善此控制，我们在 v10.26 中引入了 allowBuilds，用更灵活的配置取代了之前的 onlyBuiltDependencies：

allowBuilds:
  esbuild: true
  # 仅允许特定版本
  nx@21.6.4: true

纵深防御（v10.16 和 v10.21）​

我们并没有止步于剧本。 我们增加了多层防御措施，在恶意软件到达你的磁盘之前就将其拦截：

• minimumReleaseAge: 阻止“零日”版本（例如，发布时间不足 24 小时的软件包），让社区有时间标记恶意更新。
• trustPolicy: no-downgrade: 防止安装来源不如以前版本可靠的更新（例如，未经 CI/CD 验证发布的版本）。
• blockExoticSubdeps: 防止受信任的依赖项从不受信任的源拉取传递依赖项。

全局虚拟存储 (v10.12)​

pnpm 的一项原创创新是内容寻址存储，它通过文件去重来节省磁盘空间。 在 v10.12中，我们使用全局虚拟存储向前迈出了一步。

以前，项目都有自己的 node_modules 结构。 启用 enableGlobalVirtualStore: true 后，pnpm 现在可以将磁盘上中央位置的依赖项直接链接到您的项目中。 这意味着：

1. 大幅节省磁盘空间：项目之间共享相同的依赖关系图。
2. 更快的安装速度：如果您有 10 个项目使用 react@19，pnpm 只需要全局链接一次。

原生 JSR 支持（v10.9）​

我们采用了具有原生支持的新 JSR 注册表。 现在可以使用 jsr: 协议直接从 JSR 安装软件包：

pnpm add jsr:@std/collections

这样就能在 package.json 中正确映射，并能与 npm 依赖项无缝地处理 JSR 包的独特解析规则。

配置依赖项（v10.0）​

对于单体仓库和复杂的设置，我们引入了**配置依赖项**。 此功能允许你在多个项目中共享和集中管理 pnpm 配置（例如钩子、补丁和构建权限）。

配置依赖项在解析主依赖关系图之前安装到 node_modules/.pnpm-config 中。 这意味着你可以用它们来：

• 在不同仓库之间共享 .pnpmfile.cjs 钩子。
• 集中管理 patchedDependencies 的补丁文件。
• 维护一个共享的软件包列表，允许这些软件包为 allowBuilds 执行构建脚本。

configDependencies:
  pnpm-plugin-my-company: "1.0.0+sha512-..."

这样可以确保你的 pnpm 配置具有版本控制、一致性，并且在包管理器需要时可用。

自动 JavaScript 运行时管理（v10.14 和 v10.21）​

我们已经支持 Node.js 运行时管理一段时间了。 2025年，我们将其扩展到支持其他运行时环境，例如 Deno 和 Bun。

现在您可以通过在 package.json 中通过 devEngines.runtime 指定所需的运行时：

{
  "devEngines": {
    "runtime": {
      "name": "node",
      "version": "24.6.0"
    }
  }
}

pnpm 将自动下载并使用该特定版本的运行时来运行该项目中的脚本。 这使得“在我的机器上运行正常”成为过去式——团队中的每个人都使用完全相同的运行时，完全由 pnpm 管理。

展望未来​

我们已经开始着手开发 pnpm v11.0，该版本在性能方面有一些明显的改进。 全局虚拟存储默认情况下尚未启用。 我们将致力于修复漏洞和完善缺失的功能，以便在未来的主要版本中默认启用该功能。

pnpm 10.26 为 git 托管的依赖项引入了更严格的安全默认值，添加了 allowBuilds 以实现细粒度的脚本权限，并包含了一个新设置来阻止特殊的传递依赖项。

次要更改​

更严格的 Git 依赖安全​

半破坏性更改。 现在，除非在 onlyBuiltDependencies（或 allowBuilds）中明确允许，否则 Git 托管的依赖项将无法在安装期间运行 prepare 脚本 #10288。 此项更改可防止从不受信任的 Git 仓库执行恶意代码。

allowBuilds​

新增了一个名为 allowBuilds 的新设置，提供了灵活管理构建脚本的方式。 它接受一个包匹配器映射，以明确允许（true）或禁止（false）脚本执行。 这将取代 onlyBuiltDependencies 和 ignoredBuiltDependencies，成为首选配置方法 #10311。

示例：

allowBuilds:
  esbuild: true
  core-js: false
  nx@21.6.4 || 21.6.5: true

blockExoticSubdeps​

新增了 blockExoticSubdeps 设置，以提高供应链安全性。 当设置为 true 时，它会阻止在过渡依赖中解析异常协议 (如 git+ssh: 或直接的 https://: tarball)。 只有直接依赖项才允许使用特殊来源 #10265。

HTTP Tarball 的完整性哈希​

半破坏性更新。 pnpm 现在会在获取 HTTP tarball 依赖项时计算其完整性哈希值，并将其存储在 lockfile 中。 这将确保服务器在随后安装时无法在没有检测到的情况下提供被更改的内容 #10287。

pnpm pack --dry-run​

为 pack 命令添加了对 --dry-run 的支持。 这样，你就可以在不实际创建 tarball 的情况下验证哪些文件将包含在 tarball 中 #10301。

补丁更改​

• 当最新版本被弃用时，在表格/列表格式中显示弃用提示 #8658。
• 从 deploy 命令的锁文件中删除 injectWorkspacePackages 设置 #10294。
• 在将 tarball URL 保存到锁文件之前对其进行规范化 #10273 。
• 修复重定向不可变依赖项的 URL 规范化 #10197。

pnpm 10.25 改进了证书处理，添加了裸 pnpm init，并修复了一些影响用户体验的问题。

次要更改​

基于注册源的证书​

现在你可以从特定注册表 URL 的 cert、ca 和 key 设置中加载内联证书（例如，//registry.example.com/:ca=-----BEGIN CERTIFICATE-----...）。 以前，pnpm 只考虑 certfile、cafile 和 keyfile 条目。 这使得 pnpm 与 npm 的 .npmrc 行为保持一致 #10230。

pnpm init --bare​

为 pnpm init 添加了 --bare 标志，用于创建仅包含必需字段的 package.json #10226。

补丁更改​

• 改进了对忽略的依赖脚本的报告 #10276。
• pnpm install 现在会构建添加到 onlyBuiltDependencies 但尚未运行构建的任何依赖项 #10256。
• pnpm publish -r --force 即使版本已存在于注册表中也会发布，符合标志的意图 #10272 。
• 当从信任策略检查中排除的软件包的元数据中缺少 time 字段时，避免出现ERR_PNPM_MISSING_TIME 错误。

我们很幸运地遇到了 Shai-Hulud 2.0。

2025 年 11 月，一个自我复制的 npm 蠕虫感染了 796 个软件包，每月下载量达 1.32 亿次。 该攻击利用预安装脚本窃取凭据、安装持久后门，并在某些情况下清除整个开发人员环境。 我们没有受到影响——不是因为我们有强大的防御措施，而是因为在攻击期间我们没有运行 npm install 或 npm update。

运气不是安全策略。

我们是谁​

我是 Ryan Sobol，西雅图时报的首席软件工程师。 多年来，我们一直使用 npm 作为默认的包管理器，虽然也曾短暂地尝试过 Yarn，但始终没有流行起来。 现在我们正在试用 pnpm，专门用于其客户端安全控制，以补充 npm 一直在推出的注册表级改进。

对于新闻机构而言，信任至关重要，尤其是在当今时代。 供应链被攻破可能会暴露客户数据、员工凭证、生产基础设施和源代码——这些可能需要数周才能恢复，甚至需要向读者发出泄露通知。 我们明白这些事件会造成多么巨大的时间和金钱损失。 我们不想走上那条路。

尽管坚持 npm 存在组织惯性，但我们认为 pnpm 在这里确实有机会。 它的真的直接替换——相同的命令、相同的工作流程、相同的注册源。 这使得过度成为可能，而之前的替代方案则无法做到这一点。

这并非一份精心打磨的案例研究。 这是来自一个刚刚开始研究供应链安全的团队的真实数据点。 我们遇到的挑战以及我们思考这些控制措施的方式，或许对你自己实施这些措施有所帮助。

为什么客户端控制很重要​

npm 在供应链安全方面取得了巨大进展。 可信发布、来源证明和细粒度访问令牌都是重大改进，使得在维护者帐户被攻破后发布恶意软件包变得更加困难。

但问题在于：这些注册表改进保护的是_发布_方面。 它们并不能阻止消费*恶意包。

当你运行 npm install 或 npm update 时，生命周期脚本（例如 preinstall 和 postinstall）会在软件包经过安全评估之前，以完整的开发者权限从互联网执行任意代码。 这些脚本可以访问您的凭证（npm、GitHub、AWS、数据库）、源代码、云基础设施和整个文件系统。

这是 Shai-Hulud 等攻击所利用的根本漏洞。 即使有了这些注册表改进，如果合法维护者的帐户被盗用，攻击者仍然可以发布一个带有恶意生命周期脚本的版本，这些脚本会在安装后立即执行——在社区检测到被盗用之前。

这就是为什么我们觉得需要在两方面都进行防御：npm 的改进使得发布恶意软件包更加困难；pnpm 的客户端控制使得使用恶意软件包更加困难。 这些方法是互补的，而不是竞争的。 pnpm 使用 npm 的注册表，并受益于 npm 的所有安全改进，同时在客户端增加了一层额外的保护。

这是深入的防御。

我们正在使用的三层控制​

在我们的试点项目中，我们使用了三个协同工作的 pnpm 安全控制措施。 每个控制措施都针对不同的攻击途径，并且每个控制措施都为合法的例外情况提供了逃生通道。 我们知道，我们需要这些例外——真正的世界是混乱的。

控制 1：生命周期脚本管理​

我们考虑 pnpm 的主要原因之一是了解到它默认情况下会阻止生命周期脚本。 与其他包管理器不同，它不会隐式地信任和执行包中的任意代码。

实际上，当一个软件包有 preinstall 或 postinstall 脚本时，pnpm 会阻止它们，但安装会继续进行并发出警告。 这已经提供了重要的保护——如果您不明确允许，恶意脚本将不会被执行。 但是，我们担心警告很容易被忽略，尤其是在安装似乎成功的情况下。 我们希望通过设置 strictDepBuilds: true 来获得更严格的控制：

strictDepBuilds: true

onlyBuiltDependencies:
  - package-with-necessary-build-scripts

ignoredBuiltDependencies:
  - package-with-unnecessary-build-scripts

所谓“必要的”，指的是那些真正需要其生命周期脚本才能运行的软件包——例如从源代码编译的本地扩展程序，或者链接到特定于平台的库的数据库驱动程序。脚本 所谓“不必要的”，指的是那些可选的优化脚本或设置步骤，它们不会影响软件包在我们的使用场景中是否能正常运行。

如果设置 strictDepBuilds: true，则安装程序在遇到生命周期脚本时会立即失败，迫使我们：

1. 确定哪些软件包包含生命周期脚本——pnpm 会准确地告诉你哪些软件包包含生命周期脚本
2. 研究每个脚本的功能，这可以很简单，只需将独立的预安装或后安装脚本输入到生成式人工智能中进行解读即可
3. 运用人的判断力，做出有意识的、有记录的决定，决定是否允许或阻止它

对于我们的团队来说，这确保我们能够提前做出深思熟虑的选择，而不是在之后才发现问题。

注意： pnpm 团队正在考虑将 strictDepBuilds: true 设置为 v11 中的默认行为，并且正在根据在实践中实施这些控制的团队的反馈，探索更清晰的允许/拒绝语法命名。

控制 2：发布冷却​

此控制阻止安装在冷却期内发布的软件包。 这样做的目的是给社区时间在恶意软件到达你的环境之前检测并清除它们。

minimumReleaseAge: <duration-in-minutes>

minimumReleaseAgeExclude:
  - package-with-critical-hotfix@1.2.3

我们的思维转变： 我们必须重新训练自己，停止认为“最新的就是最好的”。 我们从供应链安全角度了解到，情况并非总是如此——稍微老一些的产品往往更安全。 一个软件包如果已经可用一段时间，就能给社区和安全研究人员时间来发现潜在的问题。

从最近的攻击事件来看，恶意软件包的检测和清除所需时间各不相同。 [2025年9月npm供应链攻击]（https://www.wiz.io/blog/widespread-npm-supply-chain-attack-breaking-down-impact-scope-across-debug-chalk）被攻破的 debug 、chalk 及其他16个软件包在大约2.5小时内被移除，而 [Shai-Hulud 2.0]（https://securitylabs.datadoghq.com/articles/shai-hulud-2.0-npm-worm/）（2025年11月） 大约花了12个小时。 每次攻击的情况都不同，每次恢复时间也会有所不同，但适当的冷却期取决于你组织的风险承受能力——它可以以小时、天或周来衡量。 不管怎样，冷却期都会阻止这些袭击。

我们接受的折衷： 考虑到我们组织的规模和我们的优先事项，我们并非总是在最新的软件包上，尽管我们做出了最大的努力。 因此，这种冷却政策更符合我们的实际情况，而不是扰乱它。 当我们确实需要更新版本（关键安全补丁、重大漏洞）时，经过审查后，我们可以暂时豁免。

控制 3：信任策略​

当软件包版本的身份验证强度低于先前发布的版本时，此控制措施会阻止安装——这通常表明攻击者窃取了维护者的凭据，并从他们自己的机器而不是官方的 CI/CD 管道发布了软件包。

trustPolicy: no-downgrade

trustPolicyExclude:
  - package-that-migrated-cicd@1.2.3

工作原理： npm 会跟踪已发布软件包的三个信任级别（从最强到最弱）：

1. **可信发布者：**通过 GitHub Actions 发布，带有 OIDC 令牌和 npm 来源
2. **来源：**来自 CI/CD 系统的签名证明
3. **无信任凭据：**发布时使用用户名/密码或令牌进行身份验证

如果新版本的身份验证强度低于旧版本，则安装会失败。 例如，如果 v1.0.0 是通过 Trusted Publisher 发布的，而 v1.0.1 是通过基本身份验证发布的，则 pnpm 会阻止 v1.0.1。

在 2025 年 8 月的 s1ngularity 攻击 中，攻击者窃取了维护者的凭证，并从他们自己的机器上发布了恶意版本。 由于他们没有 CI/CD 访问权限，恶意版本没有来源信息——这明显降低了信任度。 这种控制会阻止安装。

以下情况可能合理地导致信任降级： 新的维护者尚未设置溯源，CI/CD 系统迁移，CI/CD 系统宕机期间手动发布了紧急热修复程序。 在这些情况下，我们会调查信任级别下降的原因，验证其安全性，然后将其添加到 trustPolicyExclude 中。

**注意：**此功能于 2025 年 11 月添加到 pnpm 中，相当新。 我们仍然在了解在实践中正当的信任下降的频率。

它们如何协同工作：React 示例​

我们认为这些控制措施都不是万全之策。 它们就像多层防御——当我们不得不对其中一层控制措施做出例外处理时，其他层控制措施仍然会继续保护我们。

让我们来看一个真实的场景：2025 年 12 月披露的 严重 React 漏洞。

这是一个严重的安全问题，需要立即修复。 通常情况下，我们的版本发布冷却期会阻止我们安装最近发布的软件包版本。 但这是一个至关重要的安全补丁——我们不能再等了。

在这种情况下，多层防御机制将如何运作：

你做了什么： 在审查了脆弱性披露并核实补丁是合法的后，将特定的React版本添加到 minimumReleaseAgeExclude。

哪些因素仍然能保护你：

• 生命周期脚本管理仍然处于活动状态——如果攻击者将恶意生命周期脚本注入到 React 补丁中，这些脚本将被阻止（React 通常没有生命周期脚本，因此任何脚本都会立即引起怀疑）
• 信任策略仍然有效——如果攻击者窃取了 React 的发布凭据，并从其自身机器推送了恶意“补丁”，则信任降级将被阻止

这就是为什么我们认为例外情况是可以接受的。 你出于正当理由，有意识地、有记录地决定绕过一项控制措施，但你仍然受到其他层面的强大保护。 没有单一故障点。

这就是我们实际运用纵深防御的方式。

我们的试点体验​

我们在我们的后端服务之一实施了所有三项安全控制，作为概念验证。 总设置时间：几小时研究、理解和定义我们的方法。

在设置过程中，pnpm 识别了三个带有生命周期脚本的软件包：

• esbuild： 优化 CLI 工具启动时间（以毫秒为单位）——由于我们仅使用 JavaScript API，因此不需要此功能
• @firebase/util: 自动配置客户端 SDK——由于我们只使用服务器 SDK，因此不需要此配置
• protobufjs： 检查版本模式兼容性——由于它是传递依赖项，因此不需要此检查

我们研究了每个脚本的功能（阅读文档并将脚本输入人工智能进行解释），确定没有一个脚本对我们的用例是必要的，因此我们阻止了它们。 对功能没有影响。

仅此而已。 只需几个小时的初始投入，即可持续抵御 Shai-Hulud 式的攻击。

摩擦感是怎样的： 这些控件的设计本身就带有摩擦感——对我们来说，这是一个特性，而不是一个缺陷。 这种摩擦迫使我们有意识地决定在我们的环境中运行哪些代码，而不是盲目地信任一切。 当新增依赖项包含脚本时，我们预计审查和记录该决定大约需要 15 分钟。

我们期望，在我们更熟悉这一进程时，摩擦将变得更加直觉。

我们正在学习什么​

我们从我们的试点学到了一些东西：

纵深防御模型确实有效。 在客户端设置多层防御——再加上 npm 发布端改进带来的好处——意味着我们可以务实地处理例外情况。 当我们出于正当理由需要绕过某个控制措施时，其他控制措施仍然会保护我们。 这样就消除了做出例外处理的焦虑——它们不是安全漏洞，而是系统按设计运行的结果。

这种思维模式的形成需要时间。 从“便利性优先”转变为“安全优先”需要一个学习过程。 但一旦人们理解了这种心理模型——稍微旧一点的包更安全，明确的决定比隐性的信任更好——工作流程就会感觉很自然。

这些控制对中型团队是实用的。 我们不是一个拥有专职安全团队的大型科技公司。 我们是一个中等规模的新闻媒体组织，工程资源有限。 如果我们能够成功实施这些控制措施，那么大多数团队都可以使用这些措施。

我们仍在学习。 威胁正在演变，我们的方法也将会改变。 信任策略功能推出仅几周，我们还不知道在实践中合法的信任降级会发生多频繁。 我们计划在不久的将来将这些控制措施扩展到其他代码库，这将为我们提供更多关于它们如何随着具有不同依赖关系图的应用程序而扩展的数据。

对于其他正在考虑此方案的团队​

如果你正在考虑使用 pnpm 的安全控制措施，以下是我们总结出的有效方法：

**从一个项目开始。**先在一个代码库上进行试点，可以让我们熟悉工作流程，了解痛点，并在考虑更广泛推广之前建立信心。

提前做好例外情况的规划。 要做好心理准备，你需要为生命周期脚本（需要编译的软件包）、发布冷却时间（关键安全补丁）和信任降级（CI/CD 迁移）设置例外情况。 这不是失败——这是系统设计的工作方式。

从一开始就使用 strictDepBuilds: true。 我们认为依赖警告风险太大。 我们希望安装立即失败，从而迫使他们做出决定。 这可以防止软件包在以后出现潜在的故障，并确保经过深思熟虑的选择。

记录所有例外情况。 写下你允许生命周期脚本运行或豁免某个软件包的原因。 这样可以创建审计跟踪，帮助未来的团队成员理解原因，并使以后清理异常情况变得容易。

相信多层防护。 当你为其中一个控件破例时，请记住其他两个控件仍然在保护你。 纵深防御模型给了你务实的空间。

分享您的体验​

我们很想听听其他团队是如何实施或考虑实施这些控制措施的。 哪些方法有效？ 挑战是什么？ 你学到了什么？ 加入 pnpm GitHub Discussions 的讨论，或在社交媒体上分享你的经验——我们都在共同学习。

谢谢​

感谢 pnpm 团队构建了这些控件，并感谢他们以周到的方式使它们既强大又实用。 感谢邀请我们分享我们的故事。

你正在做的工作很重要。 这些控制措施提供了真正的保护，是对 npm 注册表改进的补充。 它们共同为像我们这样的团队提供了对抗日益复杂的供应链攻击的机会。

Ryan Sobol 是《西雅图时报》的首席软件工程师，他负责移动和 Web 开发、云基础设施和开发者工具。 本文表达的观点仅代表作者个人意见，并基于《西雅图时报》对 pnpm 安全控制措施的试点实施情况。

pnpm 现在可以在高核心机器上自动扩展网络并发性，并发布了多项可靠性修复。

次要更改​

自适应网络并发性​

网络并发数现在会根据 pnpm 工作进程数（工作进程数 × 3）在 16 到 64 之间自动调整。 这会增加许多CPU核心的机器输送量，同时使资源使用在较小的设置上保持可预见#10068。

补丁更改​

• 当你安装非预发布版本时，trustPolicy 现在忽略了预发布版本中的信任证据， 所以可信的预发布不能阻止安装缺少信任证据的稳定发布。
• 处理由 fs.linkSync() 抛出的 ENOENT 错误，该错误可能发生在容器化环境 (OverlayFS) 中，而不是 EXDEV 中。 pnpm 现在在这些情况下会优雅地回退到 fs.copyFileSync() #10217。
• 已还原：pnpm self-update 从配置的 npm 注册表下载 pnpm #10205。
• 没有 package.json 文件的软件包（例如 Node.js）在每次安装时不再从存储库中重新导入。 pnpm 现在会检查一个额外的文件来验证 node_modules 中的包。
• 正确读取包含下划线的 URL 的身份验证令牌 #17。

为 pnpm list 添加了 --lockfile-only 选项，并对 pnpm self-update 进行了各种改进。

次要更改​

pnpm list --lockfile-only​

为 pnpm list 添加了 --lockfile-only 选项 #10020。

如果指定了 pnpm list，则会从锁文件中读取包信息，而不是检查实际的 node_modules 目录。 这有助于快速检查需要安装的内容，而无需进行完整的安装。

补丁更改​

• pnpm self-update 应该从配置的 npm 注册源下载 pnpm #10205。
• 安装 v11 或更高版本时，pnpm self-update 应该始终安装不可执行的 pnpm 包（注册表中的 pnpm），而永远不要安装 @pnpm/exe 包。 我们目前无法发布 @pnpm/exe，因为 pkg 不适用于 ESM #10190。
• 如果在 package.json 中声明了 engines.runtime 设置，则 pnpm add 时不会将 Node.js 运行时添加到 "dependencies" 中 #10209。
• 如果由于信任策略检查失败而无法安装可选依赖项，则安装应失败 #10208。
• pnpm list 和 pnpm why 现在显示别名包的 npm: 协议（例如，foo npm:is-odd@3.0.1）#8660。
• 不要在 Node.js 镜像 URL 中添加额外的斜杠 #10204。
• 如果存储包含 Node.js 包，则 pnpm store prune 不应该失败 #10131。

增加了对从信任策略中排除软件包以及在发布时覆盖 engines 字段的支持。

次要更改​

信任政策例外​

添加了对 trustPolicyExclude 的支持。

现在你可以列出一个或多个 pnpm 应该允许安装的特定软件包或版本，即使这些软件包不满足信任策略要求。 例如：

trustPolicy: no-downgrade
trustPolicyExclude:
  - chokidar@4.0.3
  - webpack@4.47.0 || 5.102.1

相关问题: #10164

在发布时覆盖 engine 字段​

允许在发布时通过 publishConfig.engines 字段覆盖 engines 字段。

这允许你为发布的软件包指定与开发时不同的引擎需求。

补丁更改​

• 当两个 pnpm 进程同时将目录内容硬链接到同一目标时，不要崩溃 #10179。

增加了为依赖项安装 Node.js 运行时的支持，以及配置信任策略的设置。

次要更改​

为依赖项安装 Node.js 运行时​

增加了为依赖项自动安装 Node.js 运行时的支持。 如果依赖项在 engines.runtime 字段中声明了 Node.js 运行时，pnpm 现在将安装依赖项所需的 Node.js 版本。 例如：

{
"engines": {
  "runtime": {
    "name": "node",
    "version": "^24.11.0",
    "onFail": "download"
  }
}
}

如果依赖 Node.js 运行时的包是一个 CLI 应用程序，pnpm 会将该 CLI 应用程序绑定到所需的 Node.js 版本。 这样可以确保，无论全局安装的 Node.js 实例是什么，CLI 都将使用兼容版本的 Node.js。

如果软件包包含 postinstall 脚本，则该脚本将使用指定的 Node.js 版本执行。

相关 PR：#10141

信任政策​

添加了一个新设置：trustPolicy。

当设置为 no-downgrade 时，如果软件包的信任级别与以前的版本相比有所下降，pnpm 将失败。 例如，如果一个软件包之前是由受信任的发布者发布的，但现在只有来源信息而没有信任证明，则安装将会失败。 这有助于防止安装可能已被入侵的版本。

相关问题: #8889。

其他功能​

• 添加了对 pnpm config get globalconfig 的支持，用于检索全局配置文件路径 #9977。

补丁更改​

• 当用户对未直接列在 package.json 中的依赖项运行 pnpm update 时，任何直接依赖项都不应该更新 #10155。
• 当两个 pnpm 进程同时将目录内容硬链接到同一目标时，不要崩溃 #10160。
• 通过 pnpm-workspace.yaml 设置 gitBranchLockfile 和相关设置应该可以工作 #9651。

此版本为 pnpm help 命令添加了 --all 标志，用于打印所有命令。

次要更改​

pnpm help --all​

在 pnpm help 中添加了对 --all 选项的支持，以列出所有命令 #8628。

补丁更改​

• 当 latest 版本不满足 minimumReleaseAge 配置的成熟度要求时，选择足够成熟的最高版本，即使它具有不同的主版本号 #10100。
• create 命令不应该验证补丁信息。
• 切换到不同版本的 pnpm CLI 时，将 managePackageManagerVersions 设置为 false，以避免后续切换 [#10063]（https://github.com/pnpm/pnpm/issues/10063)。