npm、pnpm、Cargo三大包管理器同时发布安全更新,npm直接废掉所有绕过双因素认证的写入令牌,CI/CD流水线必须重新申请才能发新包。同时npm 11.16.0推出allowScripts策略,允许在package.json里白名单指定哪些依赖可以跑生命周期脚本,不在白名单的脚本会触发警告,算是给开发者一个缓冲期。 pnpm在10.34.0和11.4.0两个分支同步了多项安全加固:tarball完整性校验失败直接报硬错误,不再悄悄覆盖锁定哈希;未限定作用域的_authToken绑定到同一配置源registry,防止工作区.npmrc劫持~/.npmrc凭证;git解析commit值必须40位SHA,防止恶意锁文件注入;补丁文件不能引用包外路径。10.34.1还堵上了锁文件缺少integrity字段的漏洞。 Cargo 1.96修复了两个第三方注册表漏洞,涉及解压crate时的符号链接处理和注册表URL标准化后的认证问题,好消息是不影响crates.io用户。Composer 2.10也默认开启了恶意软件过滤功能。 包管理器安全升级越来越频繁,你的项目更新了吗?评论区聊聊~ #AI日报 #科技 #程序员 #技术干货