概要
- pnpm に新しいセキュリティ設定と依存関係検索機能を追加
- minimumReleaseAge で新規リリース依存パッケージのインストール遅延が可能
- finder functions により依存関係の高度な絞り込みが実現
- 複数の バグ修正 と利便性向上のパッチ適用
- 実用例や設定方法も明記
新機能:依存関係アップデートの遅延設定
- minimumReleaseAge 設定で、公開直後のパッケージインストールを一定時間遅延
- 例: minimumReleaseAge: 1440 で、24時間以内に公開されたパッケージはインストール不可
- 攻撃による悪意あるバージョン流通リスクの低減
- minimumReleaseAgeExclude で特定の依存関係のみ遅延対象外設定が可能
- 例:webpackを常に最新でインストール
- 関連Issue: #9921
依存関係フィルタリングの高度化:finder functions
- finder functions サポートで、依存パッケージを名前以外の条件でも検索可能
- .pnpmfile.cjs にfinder関数を定義し、--find-by=<関数名>で呼び出し
- 例:peerDependenciesに react@17 を持つパッケージの検索
- 検索結果には依存関係ツリー上の正確な位置を表示
- finder関数から文字列を返すことで、追加情報も出力可能
- 例:ライセンス情報の表示
- 関連PR: #9946
パッチ・バグ修正
- Node.js 24 実行時の非推奨警告の修正(#9529)
- nodeVersion が厳密なsemverでない場合、エラーをスロー(#9934)
- pnpm publish で.tar.gzファイルの公開が可能に(#9927)
- Ctrl-C によるプロセス中断時、pnpm runが非ゼロ終了コードを返すよう修正(#9626)