提供: WorkOS — エンタープライズ企業に販売するために成長著しいB2B企業が使うインフラ。
2026年3月24日 - リンクブログ
パッケージマネージャはクールダウンが必要。今日のLiteLLMサプライチェーン攻撃をきっかけに、依存関係のクールダウンという考えを見直しました。これは、依存関係を更新してインストールするのは、何日か市場(現場)に出回ってからにし、その間にコミュニティが何らかの形で改ざんされていないかを見つけられるようにする、という実践です。
今回のこの取り組み(3月4日付)の記事で、Andrew Nesbittが、さまざまなパッケージングツールにおける依存関係クールダウンの現状をレビューしています。意外なほどサポートが充実しています!主要なパッケージングツールでは、次のような動きが相次いでいます:
- pnpm 10.16(2025年9月)— 信頼済みパッケージ向けの
minimumReleaseAgeとminimumReleaseAgeExclude - Yarn 4.10.0(2025年9月)— 例外(免除)のための
npmMinimalAgeGate(分)とnpmPreapprovedPackages - Bun 1.3(2025年10月)—
bunfig.toml経由のminimumReleaseAge - Deno 2.6(2025年12月)—
deno updateとdeno outdated向けの--minimum-dependency-age - uv 0.9.17(2025年12月)— 既存の
--exclude-newerに相対期間のサポートを追加。さらにexclude-newer-packageによるパッケージ単位の上書きも可能 - pip 26.0(2026年1月)—
--uploaded-prior-to(絶対タイムスタンプのみ。相対期間のサポートが要望されています) - npm 11.10.0(2026年2月)—
min-release-age
pipは現在、相対日付ではなく絶対日付のみをサポートしていますが、Seth Larson そのための回避策を提示しています。これは、cronでスケジュールしてpip.conf設定ファイル内の絶対日付を更新する方法です。
2026年3月24日 午後9:11 に投稿
最近の記事
- ClaudeスキルでStarlette 1.0を試す - 2026年3月22日
- コメントに基づいてHacker Newsユーザーをプロファイリングする - 2026年3月21日
- OpenAIによるAstral買収、およびuv/ruff/tyについての所感 - 2026年3月19日
これはSimon Willisonによるリンク投稿で、2026年3月24日に掲載されました。
javascript 747 パッケージング 45 pip 16 pypi 44 python 1237 セキュリティ 583 npm 22 deno 27 サプライチェーン 12 uv 90月次ブリーフィング
月額10ドルでスポンサーになって、今月の最も重要なLLMの動向を厳選したメールダイジェストを受け取ってください。
私にお金を払って、あなたに送る量を減らしてもらいましょう!
スポンサーになって購読する
