npm v12 砍自动执行防供应链攻击
值得看指数 67.0 NO. 023 · 2026.06.11
发布2026/06/10
为什么值得看
npm v12 将移除 install 后自动运行依赖脚本的能力,改为显式授权执行。对每天拉取数百个包的 Node.js 开发者而言,这是阻断恶意包植入后门的最直接防线。
媒体预览
编辑判断
npm 这个改动的背景是 2024 年以来 registry 上恶意包数量暴涨,攻击者大量利用 postinstall 脚本做环境探测和凭证窃取。yarn 早在 2.x 就默认禁了自动执行,pnpm 也有类似策略,npm 这次算是补上了最后一块短板。
对团队来说,这不是无痛升级:很多原生依赖(如 bcrypt、sharp)靠 postinstall 做编译,切到 v12 需要把构建流程显式化。建议先在 CI 里跑 npm install --ignore-scripts 做兼容性摸底,别等升级当天才发现构建挂掉。
做 DevSecOps 工具的可以关注这里的新机会:npm 会暴露新的 hooks API 供安全扫描工具介入,比原来劫持 registry 请求的方案干净很多。