pnpmのバージョン10.30.2がリリースされました。このリリースでは、いくつかのパッチ変更が行われています。具体的には、古いバージョンがロックファイルに存在する場合にオーバーライドを無視する自動インストールされたピア依存関係の修正、グローバル仮想ストアが有効な状態でライフサイクルスクリプトを実行する際にWindowsで発生する「入力行が長すぎる」エラーの修正が含まれています。また、@zkochan/js-yamlの更新により、中程度の脆弱性が修正されました。 • pnpmのバージョン10.30.2がリリースされた • 古いバージョンがロックファイルに存在する場合のピア依存関係の自動インストールの修正 • Windowsでのライフサイクルスクリプト実行時のエラー修正 • @zkochan/js-yamlの更新による脆弱性の修正
pnpmのバージョン10.30.1がリリースされました。このリリースでは、主にパッチ変更が行われ、セキュリティ監査のエンドポイントが更新されました。具体的には、/npm/v1/security/audits/quickエンドポイントが主要な監査エンドポイントとして使用され、失敗した場合には/ npm/v1/security/auditsにフォールバックするようになりました。このリリースは、コミッターの署名が確認された状態で行われています。 • pnpmのバージョン10.30.1がリリースされた • 主な変更はセキュリティ監査エンドポイントの更新 • 新しい主要監査エンドポイントは/-/npm/v1/security/audits/quick • 失敗時には/-/npm/v1/security/auditsにフォールバックする • リリースはコミッターの署名が確認された状態で行われた
pnpmのバージョン10.30がリリースされ、いくつかの重要な変更が加えられました。主な変更点として、pnpm whyコマンドが逆依存関係ツリーを表示するようになり、検索したパッケージがルートに表示され、その依存関係が枝として表示されるようになりました。これにより、深くネストされた依存関係の表示が改善され、読みやすくなりました。また、pnpm whyの依存関係のプルーニングが元に戻され、メモリ消費よりも正確性が優先されるようになりました。さらに、ワークスペース内の多くのインポーターにおいて、依存関係グラフとマテリアライゼーションキャッシュを共有することで、pnpm whyとpnpm listのパフォーマンスが最適化されました。 • pnpmのバージョン10.30がリリースされた • pnpm whyコマンドが逆依存関係ツリーを表示するようになった • 依存関係の表示が改善され、読みやすくなった • 依存関係のプルーニングが元に戻され、正確性が優先された • ワークスペース内でのパフォーマンスが最適化された
pnpmのバージョン10.29.3がリリースされ、いくつかの重要な修正が行われました。主な修正点として、大規模な依存関係グラフにおけるメモリ不足エラーを解決するために、再帰的なツリー構築を二段階アプローチに置き換えました。これにより、出力において重複するサブツリーがデデュープされ、"deduped (N deps hidden)"として表示されます。また、.pnpmfile.cjs経由で設定されたallowBuildsが機能しない問題や、enableGlobalVirtualStoreオプションが設定されている場合にpnpm deployコマンドが誤ってグローバル仮想ストアへのシンボリックリンクを作成する問題も修正されました。これにより、デプロイディレクトリは自己完結型となります。 • 大規模な依存関係グラフにおけるメモリ不足エラーを修正 • 再帰的なツリー構築を二段階アプローチに変更 • 重複するサブツリーをデデュープし、出力に表示 • allowBuildsが機能しない問題を修正 • pnpm deployコマンドのシンボリックリンク作成の誤りを修正
pnpmのバージョン10.29.2がリリースされました。このリリースでは、v10.29.1で導入された修正が元に戻され、別の問題を引き起こしていたことが報告されています。具体的には、空のpnpm-workspace.yamlが存在する場合に「No projects matched the filters」というエラーが発生する問題が修正されました。リリースは、コミッターの署名が確認された状態で行われています。 • pnpmのバージョン10.29.2がリリースされた • v10.29.1での修正が元に戻された • 空のpnpm-workspace.yamlが存在する場合のエラーが修正された • リリースはコミッターの署名が確認された状態で行われた
pnpmのバージョン10.29.1がリリースされ、いくつかのマイナーな変更とパッチが含まれています。新機能として、pnpm dlx / pnpxコマンドがcatalog:プロトコルをサポートし、pnpm-workspace.yamlファイルでauditLevelの設定が可能になりました。また、bare workspace:プロトコルがバージョン指定なしでサポートされ、publish時に具体的なバージョンに解決されるようになりました。バグ修正としては、pnpm list --jsonがグローバル仮想ストア使用時に不正確なパスを返す問題や、pnpm fetchがローカルディレクトリ依存関係が利用できない場合に失敗する問題が修正されました。さらに、依存関係tarのバージョンがセキュリティの脆弱性を修正するために7.5.7に更新されました。 • pnpmのバージョン10.29.1がリリースされた • pnpm dlx / pnpxコマンドがcatalog:プロトコルをサポート • pnpm-workspace.yamlでauditLevelの設定が可能 • bare workspace:プロトコルがバージョン指定なしでサポート • pnpm list --jsonのバグ修正 • pnpm fetchがローカル依存関係で失敗する問題を修正 • 依存関係tarのバージョンを7.5.7に更新しセキュリティ問題を修正
pnpmのバージョン10.28.2がリリースされ、主にセキュリティ修正が行われた。この修正により、file:やgit:依存関係をインストールする際に、シンボリックリンクがパッケージディレクトリ内を指しているかどうかが検証されるようになった。これにより、悪意のあるパッケージがシンボリックリンクを使用して敏感なファイル(例:/etc/passwdや~/.ssh/id_rsa)にアクセスすることを防止する。また、オプショナル依存関係がレジストリから完全なメタデータを要求し、プラットフォーム互換性チェックに必要なlibcフィールドを取得するように修正された。 • pnpm 10.28.2のリリースにより、セキュリティ修正が行われた。 • シンボリックリンクがパッケージディレクトリ内を指しているか検証する機能が追加された。 • 悪意のあるパッケージによる敏感なファイルへのアクセスを防止する。 • オプショナル依存関係が完全なメタデータを要求するように修正された。 • プラットフォーム互換性チェックに必要なlibcフィールドを取得する。