SQLite 기반 Store Index 및 Supply Chain 보안 강화 중심의 pnpm 11 RC 출시

pnpm 11 Release Candidate: ESM Distribution, Supply Chain Defaults and a New Store Format

Daniel Curtis2026년 4월 21일3분intermediate

AI 요약

Context

기존 JavaScript 패키지 매니저들의 느슨한 Build Script 관리와 공급망 공격 취약성으로 인한 보안 리스크 증가. 기존의 복잡한 설정 표면(Configuration Surface)으로 인한 관리 효율성 저하 및 Node.js 레거시 버전 지원에 따른 런타임 최적화 제약 존재.

Technical Solution

SQLite 기반의 Store Index 도입을 통한 패키지 메타데이터 조회 및 관리 효율 최적화
minimumReleaseAge 기본값 1일 설정을 통한 신규 패키지 버전의 즉시 적용 방지 및 Supply Chain 공격 방어
allowBuilds 옵션으로 Build Script 설정을 단일화하고 strictDepBuilds 기본 활성화를 통한 빌드 스크립트 실행 제어 강화
Pure ESM 배포 및 Node.js v22+ 요구사항 적용을 통한 최신 런타임 표준 기반의 성능 최적화
undici 및 Happy Eyeballs 도입으로 HTTP 네트워크 요청 효율 개선 및 NDJSON 메타데이터 캐싱 적용
Global Virtual Store 기반의 개별 디렉토리 및 Lockfile 격리를 통한 전역 설치 패키지의 의존성 충돌 해결

실천 포인트

- 프로젝트의 Supply Chain 보안 강화를 위해 패키지 업데이트 유예 기간(Cooldown) 설정 검토 - 전역 패키지 설치 시 의존성 격리가 보장되는 Global Virtual Store 환경 적용 여부 확인 - Node.js v22 이상으로 런타임 업그레이드 후 Pure ESM 기반 도구 체인 전환 고려 - pnpm sbom 명령어를 활용한 소프트웨어 자재 명세서 생성 및 의존성 가시성 확보

태그

#Supply Chain Security #SQLite #SBOM #Content Addressable Storage #ESM

원문 읽기