js · pnpmAtenção
pnpm: hash de dependências git do GitHub não é verificado
pnpm não verifica o hash de dependências obtidas de codeload.
O que mudou
pnpm não verifica o hash de dependências obtidas de codeload.github.com, permitindo que um servidor comprometido ou configuração da máquina sirva tarballs arbitrários que o pnpm instalará independentemente do lockfile.
Quem isso afeta
Usuários do pnpm que usam dependências git do GitHub (ex.: dependências especificadas com git://github.com/...).
O que fazer hoje
Revise seus lockfiles para dependências git do GitHub e considere fixar dependências com hashes de integridade ou usar fontes alternativas até que uma correção seja lançada.
A esteira
Coletado→
Auditado→
Redigido→
Publicado