Lanzan safe-install para ejecutar solo scripts confiables en npm

Se lanzó 'safe-install', una herramienta para npm que refuerza la seguridad de las instalaciones de paquetes al ejecutar solo scripts de dependencias explícitamente confiables. El problema que aborda es que los scripts de ciclo de vida de npm (postinstall, install, preinstall) pueden ejecutar código arbitrario durante la instalación, representando un vector de ataque. Actualmente, configurar 'ignore-scripts=true' bloquea todos estos scripts, pero también interrumpe paquetes legítimos que necesitan ejecutarlos para compilar enlaces nativos o descargar binarios. La solución permite bloquear scripts por defecto y crear una lista de paquetes confiables en 'package.json'. Los desarrolladores pueden revisar qué dependencias declaran scripts de instalación y añadir solo aquellas confiarles a 'trustedDependencies'. También incluye una función para bloquear dependencias transitive que apunten fuera del registro npm con specificadores git:, file:, link: o URLs de tarball remoto.