最近は npm パッケージのサプライチェーン攻撃が増えています。幸いほとんどの場合悪意のあるパッケージは公開から 1 週間以内に削除されるため、公開から一定期間が経過したパッケージのみをインストールすることでリスクを軽減できます。

pnpm 10.16.0 からは minimumReleaseAge オプションが導入され、公開から指定した期間が経過したパッケージのみをインストールできるようになりました。例えば以下のように設定すると、公開から 1 日以上経過したパッケージのみをインストールします。

minimumReleaseAge: 1440 # 1 日 (分)

minimumReleaseAge オプションを有効にした状態で特定のパッケージは常に最新のバージョンをインストールしたい場合、minimumReleaseAgeExclude オプションでパッケージ名を指定します。

minimumReleaseAgeExclude:
  - react
  - react-dom