minimumReleaseAgeは1440分：新しすぎるnpmパッケージをすぐ入れない

# pnpm v11のminimumReleaseAgeをプロジェクトでも1440分に明示し、公開直後の危ない依存バージョンを避けるサプライチェーン対策をまとめます。

minimumReleaseAge は、npmに公開されたばかりのパッケージバージョンをすぐにはインストールしないための設定です。このブログCMSでは pnpm-workspace.yaml に minimumReleaseAge: 1440 を明示しました。1440分、つまり1日待つ設定です。

なぜ1日待つのか

悪意あるパッケージや乗っ取られたリリースは、公開直後に発覚して削除されることがあります。公開から一定時間を置くことで、危ないバージョンを即座に取り込む確率を下げます。

minimumReleaseAge: 1440

現在の状態

pnpm v11では既定値も1440分ですが、リポジトリに明示しておくことで、チームやCIから見ても意図が分かります。

auditとの違い

• pnpm audit --prod: 既知の脆弱性を検出する

• minimumReleaseAge: 新しすぎるリリースを最初から避ける

片方だけではなく、両方を使うのが安全です。auditは過去の情報に強く、minimumReleaseAgeは公開直後のサプライチェーン事故に強い、という分担です。

運用メモ

緊急パッチが必要な依存だけは例外にできます。ただし通常運用では、すぐ入れたい気持ちより、1日待つ安全性を優先します。

なぜ1日待つのか

minimumReleaseAge: 1440

現在の状態

pnpm v11では既定値も1440分ですが、リポジトリに明示しておくことで、チームやCIから見ても意図が分かります。

auditとの違い

• pnpm audit --prod: 既知の脆弱性を検出する

• minimumReleaseAge: 新しすぎるリリースを最初から避ける

片方だけではなく、両方を使うのが安全です。auditは過去の情報に強く、minimumReleaseAgeは公開直後のサプライチェーン事故に強い、という分担です。

運用メモ

緊急パッチが必要な依存だけは例外にできます。ただし通常運用では、すぐ入れたい気持ちより、1日待つ安全性を優先します。

minimumReleaseAgeは1440分：新しすぎるnpmパッケージをすぐ入れない

なぜ1日待つのか

現在の状態

auditとの違い

運用メモ

auditはpush前にかける：依存関係チェックを品質ゲートへ入れる

コメント

なぜ1日待つのか

現在の状態

auditとの違い

運用メモ

minimumReleaseAgeは1440分：新しすぎるnpmパッケージをすぐ入れない

なぜ1日待つのか

現在の状態

auditとの違い

運用メモ

Related posts

auditはpush前にかける：依存関係チェックを品質ゲートへ入れる

[##]コメント

なぜ1日待つのか

現在の状態

auditとの違い

運用メモ

コメント