昨今のサプライチェーン攻撃をを受けて、もはや

• min-release-age
• post-installの無効化
• SHA pinning

あたりがないと npm installなどができない体になってしまった。

ただ昨今のサプライチェーンの攻撃からの波及、tanstaskのライブラリの影響が他のライブラリにも波及しているみたいなところを見ると意外と危機感みたいなのはそれほど広まっていないような感覚も受ける。

プロダクトを守るということももちろんだが、このような未設定のリポジトリでの作業を行う個人としては、もはやこれらが設定されていないというのはあまり作業をしたくない(する前はこの作業をしてからにしたい)という感情になってしまっている。

そういう意味では pnpm v11系のようにデフォルトで最低限のこれらの設定が入っているのは魅力的に思える。私も個人PCで扱う可能性があるリポジトリには設定を勧めたりしているところでもある。みんな設定しよう。