pnpm の記事

pnpm 10 のサプライチェーン防御 - postinstall を止めて依存を「承認」する

pnpm 10 はインストール時の依存のビルドスクリプト（postinstall 等）をデフォルトでブロックし、明示的に承認した依存だけ実行します。onlyBuiltDependencies や approve-builds、minimumReleaseAge を使った現実的なサプライチェーン防御設定を、手元の pnpm 10.12.4 の挙動を確認しながら整理します。