nnpm v12三大安全变更重塑安装规则GitHub官方宣布nnpm v12大版本更新将于2026年7月推出此次更新引入了多项安全相关的默认行为变更。npm v12将此前可自动运行的安装行为改为需显式授权包括allowScripts默认为offnpm install不再自动执行依赖包中的preinstall、install或postinstall脚本--allow-git默认为none不再解析Git依赖--allow-remote默认为none不再解析来自远程URL的依赖。安全加固堵住供应链攻击漏洞这些变更的核心逻辑是“默认拒绝按需授权”反映了供应链安全的基本原则。特别是--allow-git和--allow-remote的变更直接针对通过Git依赖和远程URL进行代码注入的攻击面。此前即使使用--ignore-scriptsGit依赖的.npmrc仍可能被攻击者利用来执行恶意代码这类攻击在npm生态的供应链攻击中并不罕见。开发者重新审视依赖配置对于大多数Node.js项目而言这些变更意味着需要重新审视package.json和依赖配置。如果项目依赖某些包的postinstall脚本来完成native模块的构建或依赖git分支依赖来获取最新代码需要提前在package.json中显式声明这些依赖。GitHub建议开发者在正式环境升级npm v12之前先在CI/CD流水线中测试11.16.0版本观察警告信息并调整配置以确保升级过程平滑。编辑观点nnpm v12的安全变更旨在提升供应链安全虽会给开发者带来一定调整成本但长远来看有助于构建更安全的npm生态。