Оновлення npm CLI (v11.10.0+): дві нові фічі, про які варто знати

💡 Усі статті, обговорення, новини про Front-end — в одному місці. Приєднуйтесь до Front-end спільноти!

Натрапила на свіжу новину від GitHub про оновлення в npm. В npm CLI (v11.10.0+) випустили дві нові фічі:

1. Масове налаштування Trusted Publishing (OIDC)
Розробники тепер можуть додавати або оновлювати конфігурації довіреної публікації в кількох пакетах за одну операцію за допомогою команди npm trust, замість налаштування кожного пакета окремо.

2. Новий прапорець --allow-git для встановлення пакетів
Це, мабуть, найцікавіше: Git-залежності могли містити файли .npmrc, які дозволяли виконувати довільний код під час встановлення. І найгірше — це працювало навіть якщо ви юзали --ignore-scripts.

Тепер додали прапорець --allow-git, який дає нормальний контроль над цією історією.

Поки що для зворотної сумісності дефолт стоїть на all. Але розробники npm дуже радять вже зараз переходити на: --allow-git=none та вмикати Git-залежності тільки тоді, коли вони вам реально потрібні.

До речі, в майбутньому релізі npm 12 очікують, що саме none стане дефолтом.

Що думаєте про ці зміни? Чи плануєте додавати --allow-git=none у свої проєкти?