← 回總覽

包管理器需要冷却机制

📅 2026-03-25 05:11 Simon Willison 软件编程 1 分鐘 1008 字 評分: 87
包管理器 供应链安全 依赖管理 pnpm npm
📌 一句话摘要 Simon Willison 强调,包管理器中广泛采用的依赖“冷却”功能是防御供应链攻击的重要手段。 📝 详细摘要 受 LiteLLM 供应链攻击事件的触发,Simon Willison 重温了依赖“冷却”的概念——即推迟几天更新软件包,以便社区能够发现潜在的篡改行为。本文全面概述了主流包管理器(包括 pnpm、Yarn、Bun、Deno、uv、pip 和 npm)如何在 2025 年末至 2026 年初期间实现对基于发布时间的更新门控(例如 `minimumReleaseAge`)的原生支持。 💡 主要观点 依赖冷却机制是抵御恶意更新的关键缓冲。 通过有意推迟新版本的安

📌 一句话摘要

Simon Willison 强调,包管理器中广泛采用的依赖“冷却”功能是防御供应链攻击的重要手段。

📝 详细摘要

受 LiteLLM 供应链攻击事件的触发,Simon Willison 重温了依赖“冷却”的概念——即推迟几天更新软件包,以便社区能够发现潜在的篡改行为。本文全面概述了主流包管理器(包括 pnpm、Yarn、Bun、Deno、uv、pip 和 npm)如何在 2025 年末至 2026 年初期间实现对基于发布时间的更新门控(例如 minimumReleaseAge)的原生支持。

💡 主要观点

- 依赖冷却机制是抵御恶意更新的关键缓冲。 通过有意推迟新版本的安装,开发者为全球安全社区留出了时间窗口,以便在恶意包被广泛部署之前识别并报告它们。

主流包管理器已迅速集成了原生的发布时间门控功能。 像 pnpm、Yarn、Bun 和 Deno 这样的工具现在提供内置设置来强制执行最低发布年龄,这反映了整个生态系统向主动供应链安全转变的重大趋势。
细粒度的配置实现了安全与敏捷之间的平衡。 大多数实现支持受信任包的排除列表,允许来自验证来源的关键更新绕过冷却期,同时对高风险依赖项进行门控。

💬 文章金句

- 依赖冷却,即只在更新后的依赖项发布几天后才进行安装,以便给社区一个机会,去发现它们是否以某种方式被篡改。

  • 各大包管理工具近期动作频频。
  • pnpm 10.16(2025 年 9 月)—— 引入了 minimumReleaseAge,并为受信任的包提供了 minimumReleaseAgeExclude。

📊 文章信息

AI 评分:87

来源:Simon Willison's Weblog

作者:Simon Willison

分类:软件编程

语言:英文

阅读时间:1 分钟

字数:205

标签: 包管理器, 供应链安全, 依赖管理, pnpm, npm

阅读完整文章

查看原文 → 發佈: 2026-03-25 05:11:38 收錄: 2026-03-25 06:00:15

🤖 問 AI

針對這篇文章提問,AI 會根據文章內容回答。按 Ctrl+Enter 送出。