pnpm 11.5.3公開、.npmrc経由の環境変数漏洩を防ぐセキュリティ修正で対応が必要な場合あり

pnpm重要度 85原文公開: 2026/6/11

ワンポイントリポジトリの.npmrcが秘密情報を漏洩させる脆弱性を修正

この記事は pnpm の一次情報をもとにAIが再構成したものです。 原文を読む →

pnpmのマイナーリリース11.5.3では、GitHub Security Advisory GHSA-3qhv-2rgh-x77rを受けて、リポジトリ管理下の.npmrcに書かれた環境変数プレースホルダーの展開を停止しました。加えてパッケージマネージャー本体やNode.jsランタイムのダウンロード時に署名検証を行う仕組みも導入され、サプライチェーン攻撃への耐性が強化されています。既存のCI環境で認証が壊れる可能性があるため、移行手順の確認が必要です。

全文を読むには有料プランへの登録が必要です。

プランを見る →