Hoy, el equipo de mantenimiento de npm ha generalizado la funcionalidad de publicación estadiada y ha introducido nuevos controles de instalación en tiempo de ejecución. Estas actualizaciones, disponibles en la versión CLI 11.15.0, buscan reforzar significativamente la seguridad de la cadena de suministro de paquetes dentro del ecosistema Node.js. La publicación estadiada permite a los mantenedores aprobar manualmente paquetes antes de que sean instalables por los consumidores, requiriendo autenticación de dos factores para la aprobación final. Además, se agregan tres nuevas banderas de configuración que complementan la existente allow-git, permitiendo a los usuarios restringir explícitamente las fuentes de instalación no registradas. Estas medidas son relevantes para organizaciones que buscan mitigar riesgos en entornos de CI/CD y asegurar que solo paquetes verificados estén disponibles. Los desarrolladores deben actualizar sus flujos de trabajo y configuraciones npmrc para aprovechar estas nuevas opciones de seguridad. El cambio busca reducir la superficie de ataque en la instalación de dependencias, especialmente en flujos de trabajo automatizados donde la intervención humana es crítica para validar la integridad del software antes de su despliegue.
Staged publishing and new install-time controls for npm - GitHub Changelog
