包管理器引入依赖项冷却机制以增强供应链安全
Simon Willison2026/03/25 05:11机翻/自动摘要/自动分类
3 阅读
内容评分
技术含量
8/10
营销水分
5/10
摘要
本文探讨了包管理器中依赖项冷却机制的引入,旨在防范供应链攻击。多个主流工具如 pnpm、Yarn、Bun、Deno、uv 和 pip 已开始支持该机制,通过设置冷却时间延迟依赖项的安装,为社区提供检测恶意修改的时间。pip 目前仅支持绝对时间,但可通过定时任务实现相对时间控制。
正文
近期发生的恶意LiteLLM供应链攻击事件促使开发者重新审视依赖项冷却机制的重要性。该机制要求新依赖项在公开使用几天后才能被安装,以给社区时间检测其是否被篡改。目前,多个主流包管理器已陆续引入相关功能,如 pnpm 10.16 的 minimumReleaseAge 和 minimumReleaseAgeExclude 设置,Yarn 4.10.0 的 npmMinimalAgeGate,Bun 1.3 的 bunfig.toml 配置,Deno 2.6 的 --minimum-dependency-age 选项,uv 0.9.17 的包级冷却时间设置,以及 pip 26.0 的绝对时间戳支持。尽管 pip 当前仅支持绝对日期,但开发者可通过定时任务更新配置以实现相对时间控制。npm 11.10.0 也加入了类似功能。