Upcoming breaking changes for npm v12 - GitHub Changelog

Our next npm major version, v12, introduces security-related default changes to npm install. All these changes are available behind warnings in npm today on 11.16.0 or newer, so you can prepare before the upgrade. v12 is estimated to release in July 2026. Each change turns an npm install behavior that runs automatically today into one you explicitly opt into: allowScripts defaults to off: npm inst

[door-s-dev]

本当にセキュリティのことを考えるならdeno使っといたほうが良さそうな気がするけども

[gabill]

いたしかたなし。このまま脅威を放置してるとJavaScriptの多依存文化そのものが「本当にこのままで良いんだっけ？」となる。

[Fushihara]

allowScriptsをオフにしても、99％はその後にパッケージを実行する訳で、import importで攻撃スクリプトがimportされたらその瞬間に任意コードが実行される訳だしなぁ。しないよりはマシだけど

[nguyen-oi]

npm v12でallowScriptsがデフォルトオフになるのはでかい破壊的変更だな。今後の環境構築でハマる人続出の予感

[efcl]

npm v12で予定されている破壊的変更の解説。2026年7月リリース予定のnpm v12では、サプライチェーン攻撃対策として、ライフサイクルスクリプトの実行が変更される。 preinstall/install/postinstallなどのスクリプトがデフォルトで実