pnpm: integridade do lockfile pode ser ignorada em install não congelado

pnpm install em modo não congelado pode aceitar novo conteúdo remoto de pacote após detectar uma incompatibilidade de integridade em pnpm-lock.yaml, atualizando o lockfile para confiar na nova integridade e instalando o tarball alterado.

Usuários executando pnpm install sem --frozen-lockfile, especialmente em ambientes novos ou limpos onde o cache/armazenamento está vazio, e aqueles que usam registries que permitem sobrescrever ou republicar a mesma versão.

Use pnpm install --frozen-lockfile em CI e implantações de produção para garantir que a integridade do lockfile seja aplicada; para desenvolvimento local, verifique as alterações no lockfile após o install.