注目lobsters2分
npm v12、スクリプト実行・Git依存・リモートURLをデフォルト無効化へ
30秒で把握
- 1npm v12が7月リリース予定・スクリプト実行デフォルト無効化など3つの破壊的変更
- 2node-gypビルド含む全install系スクリプト・Git依存・リモートURLが要明示許可に
- 3npm 11.16.0+で警告確認可能・approve-scriptsで許可リストをpackage.jsonにコミット
要約
npm v12(2026年7月リリース予定)は、セキュリティ関連の破壊的変更として、依存パッケージのスクリプト自動実行・Git依存解決・リモートURL依存解決をデフォルト無効化する。`allowScripts`がデフォルトオフになり、`node-gyp`ビルドを含む`preinstall`/`install`/`postinstall`スクリプトは明示的に許可しない限り実行されなくなる。`--allow-git`と`--allow-remote`も同様にデフォルト`none`となり、Git依存やhttpsターボールは明示許可が必要になる。現在npm 11.16.0以降で警告として確認でき、`npm approve-scripts`コマンドで許可リストを作成しpackage.jsonにコミットしておくことで移行準備が可能だ。
あなたへの影響
npm installが関わるCI/CDパイプラインやモノレポ環境では、v12移行後にビルドが停止するリスクがあるため。
推奨:今すぐnpm 11.16.0へ更新して警告を確認し、`npm approve-scripts --allow-scripts-pending`で許可リストを整備・コミットしておくことを強く推奨する。